Wizard Spider, le gang de cybercriminalité notoire qui exploitait le botnet TrickBot et les familles de ransomware Ryuk et Conti, a peut-être développé une nouvelle famille de ransomware, rapporte Fortinet.

Surnommé Diavol, le ransomware présente des similitudes avec Conti, mais les attaques observées manquent de certaines des tactiques précédemment associées à Wizard Spider.

Sur les machines infectées, le ransomware dépose une note de rançon textuelle dans chaque dossier, informant les victimes que les données ont été exfiltrées et menaçant l’exposition du public si le paiement n’est pas effectué.

Les chercheurs en sécurité de Fortinet, cependant, disent qu’aucun des échantillons Diavol qu’ils ont observés jusqu’à présent n’a de capacité de vol de données, mais n’excluent pas la possibilité que la fonction soit ajoutée avec une future mise à jour.

Compilé avec le compilateur Microsoft Visual C/C++, Diavol utilise des appels de procédure asynchrones (APC) en mode utilisateur pour le chiffrement, ce qui est beaucoup plus lent que les algorithmes symétriques. Une fois exécuté, le malware commence à rechercher des arguments de ligne de commande pour rechercher des fichiers ou des dossiers spécifiques et chiffrer les partitions locales ou les partages réseau.

Le ransomware conserve ses principales routines dans des images bitmap qui sont stockées dans la section des ressources PE, avec un total de 14 routines identifiées, dont une qui demande à Diavol d’arrêter les services et les processus et une autre de supprimer les clichés instantanés.

Dans le cadre d’une attaque observée, Diavol a été déployé conjointement avec Conti, bien que sur des machines différentes. Les deux utilisent des paramètres de ligne de commande presque identiques et la même fonctionnalité et fonctionnent tous deux avec des opérations d’E/S asynchrones lors de la mise en file d’attente des fichiers pour le chiffrement, suggérant une connexion étroite entre eux.

Bien que l’attaque ait été attribuée à Wizard Spider, Fortinet a également remarqué certaines différences entre Diavol et Conti, telles que le manque de contrôles pour s’assurer que le malware n’infecte pas les victimes russes et aucune preuve claire de double extorsion.

Les chercheurs…