圖片來源: 

Fortinet

經營殭屍網路Trickbot的駭客組織Wizard Spider,很可能與近期出沒的勒索軟體有所關連!資安業者Fortinet在7月1日,指出他們在用戶環境裡發現新的勒索軟體Diavol,而且,很有可能就是Wizard Spider發起的攻擊行動。

究竟Fortinet是如何發現這個新的勒索軟體呢?該公司指出,他們的FortiEDR系統用戶遭遇勒索軟體攻擊,在成功防堵攻擊行動後,該公司發現2個不尋常的檔案──locker64.dll與locker.exe,而且,這些檔案攻擊者部署的時間大約間隔了1天。

上述提及的DLL檔案,Fortinet分析得知是第3版的Conti勒索軟體,但locker.exe則是完全不同,因此,該公司研判,這應該是新的勒索軟體家族。

研究人員根據這個勒索軟體執行後產生的勒索訊息,並瀏覽供受害者支付贖金的洋蔥網站,從而得知攻擊者命名該勒索軟體為Diavol。

而對於這個勒索軟體的特性而言,Fortinet指出,有別於許多勒索軟體為了加密檔案的效率,會採用對稱加密演算法,Diavol採用的是非同步程序呼叫(Asynchronous Procedure Calls,APC),但為何攻擊者採用這種呼叫方式來取代對稱加密演算法?該公司沒有進一步說明。

由於這起攻擊行動中,受害組織同時出現了Diavol與Conti兩種勒索軟體,Fortinet認為它們很可能有所關連,經過調查後,該公司發現了一些跡象能佐證這樣的推測。

從勒索軟體的功能來看,該公司指出,Diavol與Conti命令列的參數可說是幾乎相同,且這些指令在兩款勒索軟體的作用也一樣,包含了存取事件記錄檔案、加密本機磁碟或網路共用資料夾,以及在特定網路共用環境掃描特定主機的能力等。

再者,兩款勒索軟體的相似之處,還包含了搜尋檔案路徑和加密的過程:對於非同步的I/O操作做法可說是類似。因此,Fortinet認為,Diavol應為使用Conti的駭客所製作,也就是Wizard Spider所為。

另一個跡證則是與攻擊過程的調查有關。該公司指出,他們在攻擊的過程裡,發現更多的Conti酬載出現在網路裡,而且檔案名稱都是被命名為locker.exe,這項證據強化了攻擊者是Wizard Spider的可能性。但Fortinet也提出Diavol與過往該組織勒索軟體的不同之處,例如,不會偵側是否為俄羅斯的電腦,而特別迴避該國電腦不執行加密的情況。


熱門新聞

Advertisement