O FBI anunciou formalmente que vinculou o grupo que opera o ransomware Diavol (significa diabo em romeno) à gangue do TrickBot como parte de um novo compartilhamento de indicadores de comprometimento visto em ataques anteriores.
O TrickBot apareceu em 2016, replicando partes do malware Dyre, preservando a coleta de credenciais bancárias e arquitetura de injeção web. Ele evoluiu construindo um império de malware com uma infinidade de módulos de plug-ins, recursos de criptomineração e persistência e um relacionamento crescente com infestações subsequentes de ransomware.
A polícia federal americana teve conhecimento do Diavol pela primeira vez em outubro do ano passado. Um pouco antes, em julho de 2021, pesquisadores do FortiGuard Labs publicaram, como resultado da investigação de uma nova variante de ransomware, a descoberta do Diavol, que foi observado tendo como alvo vítimas corporativas.
Na época, os pesquisadores notaram que havia certas semelhanças entre o Diavol e o TrickBot, como o uso de operações de E/S (entrada e saída) assíncronas para enfileiramento de criptografia de arquivos e o uso de opções de linhas de comando quase idênticas para a mesma funcionalidade.
Agora o FBI diz ter conseguido verificar uma associação entre os desenvolvedores do Diavol e do Trickbot, um dos trojans bancários mais ativos. Isso porque, segundo eles, o Diavol criptografa os arquivos apenas usando uma chave de criptografia RSA, e seu código é capaz de priorizar os tipos de arquivos a serem criptografados com base em uma lista pré-configurada de extensões definidas pelo invasor.
De acordo com o FBI, embora as demandas de resgate tenham variado de US$ 10 mil a US$ 500 mil, os operadores do Diavol estão dispostos a envolver as vítimas em negociações de resgate e aceitar valores mais baixos. O FBI ainda não observou o vazamento de dados das vítimas do Diavol, apesar de os pedidos de resgate do grupo trazerem ameaças de vazamento das informações roubadas.
Veja isso
Trickbot lidera ranking pelo segundo mês seguido
Trickbot ressuscita Emotet para ataques do Conti
Conforme o site Bleeping Computer, esses valores contrastam fortemente com os maiores resgates solicitados por outras operações de ransomware afiliadas ao TrickBot, como o Conti e o Ryuk, que normalmente exigem resgates de vários milhões de dólares.
O alerta do FBI oferece vários sinais de comprometimento e mitigação para o Diavol, tornando-o uma leitura obrigatória para profissionais de segurança e administradores de rede Windows.
Mitigações recomendadas
- Implemente um plano de recuperação para manter e reter várias cópias de dados e servidores confidenciais ou proprietários em um local fisicamente separado, segmentado e seguro (ou seja, disco rígido, dispositivo de armazenamento, nuvem);
- Implemente a segmentação de rede e mantenha backups offline de dados para garantir interrupção limitada à organização;
- Faça backup de dados regularmente, proteja com senha as cópias de backup offline. Certifique-se de que cópias de dados críticos não estejam acessíveis para modificação ou exclusão do sistema onde os dados residem;
- Instale e atualize regularmente o software antivírus em todos os hosts e ative a detecção em tempo real;
- Instale atualizações/patches de sistemas operacionais, software e firmware assim que as atualizações/patches forem lançadas;
- Revise controladores de domínio, servidores, estações de trabalho e diretórios ativos para contas de usuário novas ou não reconhecidas;
- Audite contas de usuários com privilégios administrativos e configure controles de acesso com o mínimo de privilégios em mente;
- Não conceda privilégios administrativos a todos os usuários;
- Desative as portas não utilizadas;
- Considere adicionar um banner de e-mail aos e-mails recebidos de fora da sua organização;
- Desative os hiperlinks nos e-mails recebidos;
- Use a autenticação multifator sempre que possível;
- Use senhas fortes e altere regularmente senhas para sistemas e contas de rede, implementando o menor prazo aceitável para alterações de senha;
- Evite reutilizar senhas para várias contas;
- Exija credenciais de administrador para instalar o software;
- Use apenas redes seguras e evite usar redes Wi-Fi públicas;
- Considere instalar e usar uma VPN;
- Foco na conscientização e treinamento de segurança cibernética;
- Forneça regularmente aos usuários treinamento sobre princípios e técnicas de segurança da informação, bem como riscos e vulnerabilidades gerais de segurança cibernética (ou seja, golpes de ransomware e phishing);
Além disso, o FBI recomenda que todas as vítimas, independentemente de pretenderem pagar resgate, alertem as autoridades imediatamente após um ataque, a fim de reunir novos COIs para fins de investigação e operações de aplicação da lei.