針對勒索軟體Diavol與製作TrickBot的駭客組織的關連，IBM找到更多線索

資安業者Fortinet在7月初揭露名為的Diavol勒索軟體體， 並基於與Conti有許多共通的特性，認為Diavol可能是出自駭客組織「Wizard Spider」，也就是製作、經營Trickbot殭屍網路的駭客組織。

對於這個勒索軟體的研究，在一個多月後出現新的進展：IBM X-Force威脅情報研究團隊指出，他們找到了Diavol的早期開發版本並進行研究，根據程式碼的編排方式來判斷，這款勒索軟體應該就是來自Wizard Spider。

加密檔案手法存在顯著差異

原本IBM進行研究的動機，是想要針對Fortinet發現的Diavol進一步分析，但他們找到了另一款Diavol勒索軟體的檔案，與先前被Fortinet發現的勒索軟體存在許多相似之處，當中最主要的差別，是IBM找到的版本仍處於開發階段，看起來是駭客用來測試的檔案，而不像Fortinet找到的檔案，已經是具備完整功能的勒索軟體。

這兩個版本的Diavol編譯時間存在明顯的出入，IBM指出，Fortinet發現的版本於2021年4月30日編譯，但他們找到的是在2020年3月5日製作。此外，這個開發版本的檔案，在2021年1月27日被上傳到惡意軟體分析平臺VirusTotal，檔案名稱為malware.exe。

再者，針對加密檔案的方式，開發版本的Diavol與後繼版本也有所不同──開發版本採用RSA演算法，攻擊者可設置需要優先加密的檔案類型，並且能終止指定的處理程序或是服務，以免加密檔案的過程遭到中斷。相較之下，先前被揭露的版本採用了非同步程序呼叫（Asynchronous Procedure Calls，APC），取代許多勒索軟體使用的對稱式加密機制。

此外，由於是開發版本，研究人員表示，他們執行Diavol的過程中，雖然會將檔案加密，但不會刪除原始檔案，如果被拿來用於攻擊行動，受害者根本不會支付贖金。

開發版本保有駭客組織工具的共通特性

而為何會IBM認為Diavol出自Wizard Spider？該公司提出兩項發現。首先，針對Diavol執行的過程中，該勒索軟體會結合收集到的受害電腦資訊，產生一組Bot ID，以便攻擊者進行追蹤，這組。而IBM發現，這組Bot ID的格式，與TrickBot惡意軟體幾乎相同，僅增加了使用者名稱（username）的部分，而這樣的格式，特徵也與Wizard Spider另一款惡意軟體Anchor DNS相似。

另一項與Wizard Spider有關的證據，則是與駭客偏好的語言有關。研究人員指出，在Diavol開發版與C2伺服器通訊的HTTP標頭中，設置偏好以俄語呈現內容，而操作TrickBot的駭客也慣用俄文。

而與語言相關的線索，還有開發版本Diavol具備檢查受害電腦作業系統語言的機制，一旦發現是位於俄羅斯，或是獨立國家國協（Commonwealth of Independent States）的電腦，就不會發動攻擊。