Peringatan FBI: ransomware anyar iki nuntut nganti $500,000

Biro Investigasi Federal (FBI) duwe bukti rinci sing nyambungake ransomware Diavol anyar menyang TrickBot Group, geng prolifik ing mburi trojan perbankan eponymous. 

Diavol tekan radar peneliti ing pertengahan 2021 nalika Fortinet nerbitake analisis teknis saka Diavol sing nggawe sawetara pranala menyang Wizard Spider, jeneng liya kanggo Trickbot Group, sing uga ditelusuri para peneliti ing hubungane karo "pemerasan ganda" Ryuk ransomware. 

Ryuk dipilih kanthi selektif marang target sing larang regane sing kena raket pemerasan kaping pindho, ing ngendi data kasebut dienkripsi, dicolong lan banjur bisa bocor kajaba tebusan dibayar.  

NDELENG: Strategi sing menang kanggo keamanan siber (Laporan khusus ZDNet)

Piranti Trickbot kalebu Anchor_DNS backdoor, alat kanggo ngirim data antarane mesin korban lan server sing dikontrol Trickbot nggunakake tunneling Domain Name System (DNS) kanggo ndhelikake lalu lintas ala karo lalu lintas DNS normal. 

FBI wis pindhah menyang Diavol wiwit Oktober. Hubungane antarane Diavol lan Trickbot yaiku pengenal bot unik (Bot ID) sing digawe dening Diavol kanggo saben korban "meh padha" karo format sing digunakake dening malware Trickbot lan Anchor_DNS. Sawise Bot ID kui dening Diavol, file ing mesin sing ndhelik lan appended karo ".lock64" extension file lan mesin nampilake pesen tebusan.

"Diavol digandhengake karo pangembang saka Trickbot Group, sing tanggung jawab kanggo Trickbot Banking Trojan," FBI ngandika ing cathetan lampu kilat anyar, warning sing wis katon extortion nuntut nganti $500,000.

Ora kaya Ryuk, FBI durung weruh data korban bocor Diavol, sanajan pesen klompok kasebut ngemot ancaman kanggo nindakake. Cathetan tebusan Diavol nyatakake: 

"Elinga yen kita uga wis ndownload data saka jaringan sampeyan 

Yen ora mbayar bakal diterbitake ing situs web warta kita.

"Diavol ndhelik file mung nggunakake kunci enkripsi RSA, lan kode kasebut bisa menehi prioritas jinis file kanggo enkripsi adhedhasar dhaptar ekstensi sing wis dikonfigurasi sing ditetepake dening penyerang," ujare FBI. 

"Nalika panjaluk tebusan saka $ 10,000 nganti $ 500,000, aktor Diavol wis gelem melu korban ing negosiasi tebusan lan nampa pembayaran sing luwih murah."

Senajan FBI ngakoni sawetara korban wis rembugan mudhun ransoms karo Diavol aktor, iku isih discourages persetujuan amarga ora njamin file bakal mbalekake lan menehi saran marang pembayaran amarga bisa embolden panyerang lan mbiayai serangan mangsa. 

Ing sisih liya, FBI nuduhake simpati marang para korban sing negosiasi karo penyerang. 

"FBI mangertos yen nalika korban ngadhepi kasekengan fungsine, kabeh opsi dievaluasi kanggo nglindhungi para pemegang saham, karyawan lan pelanggan. FBI bisa uga bisa nyedhiyakake sumber daya mitigasi ancaman kanggo sing kena pengaruh ransomware Diavol, "ujare.

NDELENG: Latihan cybersecurity sampeyan butuh dandan amarga serangan peretasan saya tambah parah

FBI uga ngajak organisasi korban kanggo nuduhake "log wates sing nuduhake komunikasi menyang lan saka alamat IP manca, informasi dompet Bitcoin, file decryptor, lan / utawa sampel entheng saka file sing dienkripsi."

Nanging nyedhiyakake sumber daya mitigasi beda karo mbantu mbalekake dana sing dibayar. Ing kasus Colonial Pipeline, FBI lan Departemen Kehakiman mbalekake kira-kira setengah saka dana extorted kanthi nggunakake buku besar Bitcoin kanggo nglacak pembayaran bali menyang "alamat tartamtu, sing FBI duwe 'kunci pribadi', utawa padha karo kasar sandhi sing dibutuhake kanggo ngakses aset sing bisa diakses saka alamat Bitcoin tartamtu. 

Nanging ora saben organisasi korban minangka panyedhiya infrastruktur kritis sing narik kawigatosan Gedung Putih, sing wiwit kasebut njaluk Kremlin kanggo tumindak nglawan serangan ransomware sing ana ing Rusia. Panguwasa Rusian minggu kepungkur nganakake serangan langka marang anggota REvil, sing nduweni pranala menyang DarkSide.