制作Trickbot僵尸网络的骇客疑开发新勒索软件

经营僵尸网络Trickbot的骇客组织Wizard Spider，很可能与近期出没的勒索软件有所关连！资安业者Fortinet在7月1日，指出他们在用户环境里发现新的勒索软件Diavol，而且，很有可能就是Wizard Spider发起的攻击行动。

究竟Fortinet是如何发现这个新的勒索软件呢？该公司指出，他们的FortiEDR系统用户遭遇勒索软件攻击，在成功防堵攻击行动后，该公司发现2个不寻常的档案──locker64.dll与locker.exe，而且，这些档案攻击者部署的时间大约间隔了1天。

上述提及的DLL档案，Fortinet分析得知是第3版的Conti勒索软件，但locker.exe则是完全不同，因此，该公司研判，这应该是新的勒索软件家族。

研究人员根据这个勒索软件执行后产生的勒索讯息，并浏览供受害者支付赎金的洋葱网站，从而得知攻击者命名该勒索软件为Diavol。

而对于这个勒索软件的特性而言，Fortinet指出，有别于许多勒索软件为了加密档案的效率，会采用对称加密算法，Diavol采用的是异步程序呼叫（Asynchronous Procedure Calls，APC），但为何攻击者采用这种呼叫方式来取代对称加密算法？该公司没有进一步说明。

由于这起攻击行动中，受害组织同时出现了Diavol与Conti两种勒索软件，Fortinet认为它们很可能有所关连，经过调查后，该公司发现了一些迹象能佐证这样的推测。

从勒索软件的功能来看，该公司指出，Diavol与Conti命令列的参数可说是几乎相同，且这些指令在两款勒索软件的作用也一样，包含了存取事件记录档案、加密本机磁盘或网络共用资料夹，以及在特定网络共用环境扫描特定主机的能力等。

再者，两款勒索软件的相似之处，还包含了搜寻档案路径和加密的过程：对于异步的I/O操作做法可说是类似。因此，Fortinet认为，Diavol应为使用Conti的骇客所制作，也就是Wizard Spider所为。

另一个迹证则是与攻击过程的调查有关。该公司指出，他们在攻击的过程里，发现更多的Conti酬载出现在网络里，而且档案名称都是被命名为locker.exe，这项证据强化了攻击者是Wizard Spider的可能性。但Fortinet也提出Diavol与过往该组织勒索软件的不同之处，例如，不会侦侧是否为俄罗斯的电脑，而特别回避该国电脑不执行加密的情况。