Trickbot продал душу Дьяволу

Татьяна Никитина 02 Июля 2021 - 16:52

Программы-шифровальщики

...

В ходе разбора одной из недавних атак эксперты Fortinet обнаружили новую вымогательскую программу с именем Diavol. Анализ ее образцов выявил сходство по коду с Conti — хорошо известным шифровальщиком, для доставки которого зачастую используются боты Trickbot.

Новобранец был запущен в сеть клиента Fortinet вместе с новейшей (третьей) версией Conti, но с интервалом в один день и на разные Windows-машины. Как оказалось, интервенты используют одинаковые параметры командной строки для запуска поиска дисков и шифрования файлов. Однако Diavol отличает отсутствие проверок, предотвращающих шифрование на территории России, и признаков кражи данных для публикации в случае неуплаты выкупа.

Новоявленный зловред также не использует обфускацию — только прячет основные подпрограммы в растровых изображениях, которые эксперты обнаружили в ресурсах исполняемого файла (locker.exe).

Совокупно анализ Diavol выявил 14 различных процедур и функций, выполняемых в следующем порядке:

создание идентификатора жертвы;
инициализация (копирование вшитых в код параметров конфигурации);
регистрация на C2-сервере (расположен в Германии), обновление конфигурации;
принудительное завершение Windows-служб и процессов для максимального охвата файлов (Google Chrome, базы данных, веб-серверы, офисные и финансовые приложения, виртуальные машины);
инициализация ключа шифрования (публичный RSA);
поиск дисков для шифрования (локальные и сетевые общего пользования);
поиск файлов для шифрования;
удаление теневых копий Windows (чтобы воспрепятствовать восстановлению данных);
шифрование (с использованием стандартного WinCrypt API, к итогу добавляется расширение .lock64);
замена обоев рабочего стола.

О завершении работы Diavol свидетельствует черный экран, сообщающий жертве о случившемся и предлагающий ознакомиться с информацией в файле README-FOR-DECRYPT.txt. Эти файлы создаются во всех папках независимо от наличия зашифрованных файлов.

В тексте README приведены инструкции со ссылкой на сайт в сети Tor. Продолжая запугивать жертву, злоумышленники утверждают, что похитили данные из сети, и обещают опубликовать их, если не получат деньги. Поскольку признаков кражи аналитики не обнаружили, было решено, что это просто блеф — или задел под будущий функционал.

Для преобразования файлов Diavol использует ассиметричное шифрование — редкий случай для вымогательских программ. Их создатели обычно отдают предпочтение симметричным шифрам, которые работают гораздо быстрее.

Имя нового вредоноса исследователи обнаружили на onion-сайте, созданном злоумышленниками для контроля платежей. Оплата дешифратора принимается в биткойнах.

Каким образом Diavol и Conti попали в сеть жертвы, установить не удалось. Поскольку операторы Conti состоят в партнерских отношениях с ботоводами Trickbot, аналитики предположили, что «дьявольская» атака — тоже их инициатива.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 05 Февраля 2026 - 10:37

Фишинг Целевые атаки Таргетированные атаки Общее BI.ZONE

Фишинг стал доминирующим методом проникновения при кибератаках

Согласно исследованию ландшафта угроз Threat Zone 2026, подготовленному BI.ZONE Threat Intelligence на основе анализа активности ста кластеров, атаковавших компании из России и других стран СНГ в 2025 году, фишинг стал основным способом первоначального проникновения в корпоративную инфраструктуру. На него пришлось 64% всех зафиксированных эпизодов.

Как отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин, представляя результаты исследования, остальные методы используются значительно реже.

Так, применение средств удаленного доступа составило около 18%, а еще 9% атак пришлись на компрометацию подрядчиков — как правило, небольших и слабо защищенных компаний.

Лишь в 7% случаев злоумышленники проникали в инфраструктуру за счет эксплуатации уязвимостей. По словам Олега Скулкина, столь низкая доля объясняется тем, что организации все активнее устраняют известные проблемы безопасности. При этом он отметил рост интереса атакующих к уязвимостям нулевого дня.

Отдельной тенденцией 2025 года стало более активное использование техники ClickFix, при которой необходимые злоумышленникам действия выполняет сам сотрудник компании — обычно под давлением или с применением манипулятивных приемов. Если раньше такие подходы применялись в основном против зарубежных организаций, то в прошлом году они стали активно использоваться и в России, причем с опорой на отечественные сервисы.

В целом злоумышленники все чаще делают ставку на легитимные инструменты и «законные» способы получения доступа — например, с использованием украденных или утекших учетных данных сотрудников. Среди фреймворков эксплуатации и постэксплуатации атакующие все чаще выбирают малоизвестные и редко используемые решения, чтобы усложнить обнаружение. Вредоносное ПО при этом применяется в основном против организаций с низким уровнем защищенности.

По оценке Олега Скулкина, искусственный интеллект используется примерно в 1% атак. Он помогает экономить время — ИИ применяют для генерации фишинговых документов, обфускации и оптимизации кода. Однако полноценные зловреды, написанные ИИ, пока остаются редкостью из-за невысокого качества результатов работы больших языковых моделей.

Основным мотивом атак по-прежнему остается финансовый — на него пришлось 47% инцидентов. Это на 20 процентных пунктов меньше, чем в 2024 году. Одновременно выросла доля атак с целью шпионажа — с 21% до 37%, а также хактивизма — с 12% до 16%. При этом, как отметил Олег Скулкин, одни и те же кластеры нередко совмещают атаки разной направленности.

Самой атакуемой отраслью в 2025 году стало государственное управление — на него пришлось 14% всех атак. На втором месте оказался финансовый сектор с долей 11%. Третье и четвертое места разделили транспорт и логистика, а также розничная торговля — по 10% каждая.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »