【安全资讯】Diavol新型勒索软件疑似来自Wizard Spider黑客组织

2021 年 6 月上旬，研究人员阻止了一起勒索软件攻击事件的发生，随后在系统中发现了Conti 勒索软件和一个新的勒索软件家族Diavol的有效载荷。Diavol的加密过程很独特，使用异步过程调用 (APC) 进行操作，而不使用对称加密算法。通常，勒索软件攻击者的目标是在最短的时间内完成加密操作，而对称算法比非对称加密算法快很多，因此很少使用非对称加密算法。 经过分析，研究人员猜测，该勒索软件可能归因于与Conti背后的网络犯罪组织Wizard Spider。

勒索软件会在每个文件夹中以文本格式发送勒索赎金记录，声称从受害者的机器上窃取了数据。在浏览了赎金记录中的URL 后，研究人员观察到了如下网站，并从中得出了勒索软件的名称：

研究人员发现， Diavol使用的参数与Conti使用的参数几乎完全相同，命令行参数实现相同的功能：日志文件、驱动器和网络共享加密，以及扫描特定主机以获取网络共享。此外，Diavol和Conti都使用异步 I/O 操作进行文件加密排队。尽管存在所有相似之处，但一些显着差异使研究人员无法以高置信度把二者直接联系起来。

据悉，Conti 背后的威胁演员 Wizard Spider 和 Egregor 背后的威胁演员 Twisted Spider 之间存在联系。这些团伙在各种行动中进行合作，以双重勒索而闻名。Diavol 和 Egregor 勒索软件之间也可能存在联系，因为赎金票据中的某些行是相同的，如下图：