【安全资讯】FBI将Diavol勒索软件与TrickBot团伙联系起来

引言

1月19日，FBI发布警报，将Diavol勒索软件与 TrickBot组织联系起来，后者是臭名昭著的 TrickBot 银行木马的开发者。

简况

TrickBot组织又名 Wizard Spider，是一个臭名昭著的恶意软件开发团伙，多年来对企业网络造成了严重的破坏，通常会导致 Conti 和 Ryuk 勒索软件攻击、网络渗透、金融欺诈和企业间谍活动。同时，TrickBot团伙也是其同名的TrickBot银行木马以及BazarBackdoor和Anchor后门的开发者。

2021 年 7 月，研究人员发布了对Diavol新型勒索软件的分析，该勒索软件以企业受害者为目标。2021年6月上旬，研究人员在同一勒索软件攻击发现了Diavol和Conti两种有效载荷。

在分析了这两个勒索软件样本后，发现了相似之处，这两个恶意软件都使用异步 I/O 操作进行文件加密，并且相同的功能具有几乎相同的命令行参数。但是当时没有足够的证据将这两项软件正式联系起来。一个月后，研究人员在Diavol勒索软件和其他TrickBot组织的恶意软件（例如 Anchor 和 TrickBot）之间建立了更紧密的联系。

1月20日，FBI正式宣布，已将Diavol勒索软件与TrickBot组织联系起来。Diavol 的赎金要求在 10,000 美元到 500,000 美元之间。Diavol 的赎金要求与其他勒索软件团伙要求的赎金形成鲜明对比，大型勒索团伙（如 Conti 和 Ryuk）通常要求数百万美元的赎金。勒索赎金信条如下：

此前，为网络犯罪团伙开发勒索软件的拉脱维亚妇女Alla Witte被捕，FBI很可能根据对Alla Witte的调查将 Diavol 与 TrickBot 团伙联系起来。Alla Witte 在 TrickBot运营中发挥了关键作用，负责开发 Diavol 勒索软件和前端后端项目，旨在通过特定的定制勒索软件支持TrickBot的运营。

总结

FBI敦促所有受害者，无论他们是否支付赎金，在受到勒索攻击后一定要及时通知执法部门，以收集可用于调查目的和执法行动的新 IOC。