Trickbot продал душу Дьяволу

Татьяна Никитина 02 Июля 2021 - 16:52

Программы-шифровальщики

...

В ходе разбора одной из недавних атак эксперты Fortinet обнаружили новую вымогательскую программу с именем Diavol. Анализ ее образцов выявил сходство по коду с Conti — хорошо известным шифровальщиком, для доставки которого зачастую используются боты Trickbot.

Новобранец был запущен в сеть клиента Fortinet вместе с новейшей (третьей) версией Conti, но с интервалом в один день и на разные Windows-машины. Как оказалось, интервенты используют одинаковые параметры командной строки для запуска поиска дисков и шифрования файлов. Однако Diavol отличает отсутствие проверок, предотвращающих шифрование на территории России, и признаков кражи данных для публикации в случае неуплаты выкупа.

Новоявленный зловред также не использует обфускацию — только прячет основные подпрограммы в растровых изображениях, которые эксперты обнаружили в ресурсах исполняемого файла (locker.exe).

Совокупно анализ Diavol выявил 14 различных процедур и функций, выполняемых в следующем порядке:

создание идентификатора жертвы;
инициализация (копирование вшитых в код параметров конфигурации);
регистрация на C2-сервере (расположен в Германии), обновление конфигурации;
принудительное завершение Windows-служб и процессов для максимального охвата файлов (Google Chrome, базы данных, веб-серверы, офисные и финансовые приложения, виртуальные машины);
инициализация ключа шифрования (публичный RSA);
поиск дисков для шифрования (локальные и сетевые общего пользования);
поиск файлов для шифрования;
удаление теневых копий Windows (чтобы воспрепятствовать восстановлению данных);
шифрование (с использованием стандартного WinCrypt API, к итогу добавляется расширение .lock64);
замена обоев рабочего стола.

О завершении работы Diavol свидетельствует черный экран, сообщающий жертве о случившемся и предлагающий ознакомиться с информацией в файле README-FOR-DECRYPT.txt. Эти файлы создаются во всех папках независимо от наличия зашифрованных файлов.

В тексте README приведены инструкции со ссылкой на сайт в сети Tor. Продолжая запугивать жертву, злоумышленники утверждают, что похитили данные из сети, и обещают опубликовать их, если не получат деньги. Поскольку признаков кражи аналитики не обнаружили, было решено, что это просто блеф — или задел под будущий функционал.

Для преобразования файлов Diavol использует ассиметричное шифрование — редкий случай для вымогательских программ. Их создатели обычно отдают предпочтение симметричным шифрам, которые работают гораздо быстрее.

Имя нового вредоноса исследователи обнаружили на onion-сайте, созданном злоумышленниками для контроля платежей. Оплата дешифратора принимается в биткойнах.

Каким образом Diavol и Conti попали в сеть жертвы, установить не удалось. Поскольку операторы Conti состоят в партнерских отношениях с ботоводами Trickbot, аналитики предположили, что «дьявольская» атака — тоже их инициатива.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 14:50

Эксплойты Шпионские программы Программы слежения Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство BI.ZONE

Кибершпионы в России переключились на НИОКР и инженерные предприятия

Доля кибератак на российские организации, совершаемых с целью шпионажа, заметно выросла. По данным портала киберразведки BI.ZONE Threat Intelligence, в 2025 году на шпионские операции пришлось уже 37% атак (против 21% годом ранее). Иными словами, если раньше шпионской была примерно каждая пятая атака, то теперь — уже почти каждая третья.

При этом госсектор остаётся для таких группировок целью номер один. На органы государственного управления приходится 27% атак шпионских кластеров.

Но интерес злоумышленников всё чаще смещается и в сторону науки и технологий. Доля атак на организации, связанные с НИОКР, за год выросла вдвое — с 7% до 14%.

Как отмечает руководитель BI.ZONE Threat Intelligence Олег Скулкин, рост доли шпионских атак почти в полтора раза стал одним из ключевых трендов 2025 года. По его словам, специалисты наблюдают более 100 кластеров, нацеленных на Россию и страны СНГ, и около 45% из них — это именно шпионские группировки.

Интересно, что такие кластеры сильно различаются по уровню подготовки. В одних случаях злоумышленники применяют технически сложные инструменты, но выдают себя плохо составленными фишинговыми письмами. В других — атаки относительно простые, зато адаптированы под локальный контекст и выглядят максимально правдоподобно.

Так, во второй половине декабря 2025 года группировка Rare Werewolf атаковала научно-исследовательское и производственное предприятие оборонно-промышленного комплекса. Жертве отправили письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования — от имени сотрудника научно-производственного центра беспилотных систем.

Во вложении не было классических зловредов. Вместо этого использовались легитимные инструменты: AnyDesk для удалённого доступа, 4t Tray Minimizer для скрытия окон и утилита Blat — для незаметной отправки похищенных данных. Такой подход позволяет дольше оставаться незамеченными и обходить системы защиты.

Впрочем, легитимными программами дело не ограничивается. Почти все шпионские кластеры активно применяют зловред собственной разработки. Новые самописные инструменты помогают обходить средства защиты и закрепляться в инфраструктуре на длительное время.

Кроме того, такие группировки, как правило, не стеснены в ресурсах. Они могут позволить себе покупку дорогостоящих эксплойтов, включая 0-day. Ранее специалисты BI.ZONE фиксировали атаки кластера Paper Werewolf, который, предположительно, приобрёл на теневом форуме эксплойт к уязвимости в WinRAR за 80 тысяч долларов.

Судя по динамике, кибершпионаж становится всё более системным и профессиональным — и явно не собирается сдавать позиции.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »