TrickBot es un descendiente lejano del troyano bancario ZeuS, que apareció por primera vez en 2005, aunque es más comúnmente asociado con Dyre o Dyreza, que cayó en 2015. TrickBot apareció en 2016, replicando partes del malware de Dyre y conservando su arquitectura de recolección de credenciales bancarias e inyecciones web. TrickBot ha evolucionado hasta convertirse en un imperio de malware con una plétora de módulos de plugins, capacidades de criptominería y persistencia, y una creciente relación con infestaciones posteriores de ransomware.
El ransomware Diavol
Fue en julio de 2021 cuando los investigadores de FortiGuard Labs publicaron una investigación sobre una nueva variante de ransomware conocida como Diavol (Diablo en rumano), que se observó que se dirigía a víctimas corporativas.
Las cargas útiles del ransomware Diavol y Conti fueron descubiertas en una red a principios de junio de 2021 como parte de un único ataque de ransomware, según los expertos.
Se determinó que había ciertas similitudes entre las dos variantes de ransomware cuando se analizaron, como el uso de operaciones de E/S asíncronas para la cola de cifrado de archivos y el uso de opciones de línea de comandos casi idénticas para la misma funcionalidad.
Conexión del ransomware Diavol con la banda TrickBot
El FBI ha anunciado formalmente que ha vinculado la operación del ransomware Diavol con la banda TrickBot en un nuevo aviso en el que se comparten indicadores de compromiso vistos en ataques anteriores.
"El FBI tuvo conocimiento por primera vez del ransomware Diavol en octubre de 2021. Diavol está asociado a los desarrolladores del Grupo Trickbot, responsables del troyano bancario Trickbot. Diavol encripta los archivos utilizando únicamente una clave de cifrado RSA, y su código es capaz de priorizar los tipos de archivos a cifrar en base a una lista preconfigurada de extensiones definidas por el atacante. Aunque las peticiones de rescate han oscilado entre los 10.000 y los 500.000 dólares, los actores de Diavol se han mostrado dispuestos a entablar negociaciones con las víctimas sobre el rescate y a aceptar pagos más bajos. El FBI aún no ha observado que Diavol filtre datos de las víctimas, a pesar de que las notas de rescate incluyen amenazas de filtrar la información robada."
Como explica BleepingComputer, estas cifras contrastan fuertemente con los mayores rescates solicitados por otras operaciones de ransomware afiliadas a TrickBot, como Conti y Ryuk, que normalmente han exigido rescates multimillonarios.
La alerta del FBI ofrece múltiples señales de compromiso y mitigaciones para Diavol, lo que la convierte en una lectura obligada para los profesionales de la seguridad y los administradores de Windows/redes por igual.
Mitigación recomendada
- Implemente un plan de recuperación para mantener y conservar múltiples copias de datos y servidores sensibles o de propiedad en una ubicación físicamente separada, segmentada y segura (es decir, disco duro, dispositivo de almacenamiento, la nube).
- Implemente la segmentación de la red y mantenga copias de seguridad offline de los datos para garantizar una interrupción limitada de la organización.
- Realice regularmente copias de seguridad de los datos y proteja con contraseña las copias de seguridad fuera de línea. Asegúrese de que las copias de los datos críticos no sean accesibles para su modificación o eliminación desde el sistema donde residen los datos.
- Instalar y actualizar regularmente el software antivirus en todos los hosts, y permitir la detección en tiempo real.
- Instale actualizaciones/parches de sistemas operativos, software y firmware tan pronto como se publiquen las actualizaciones/parches.
- Revisar los controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas de usuario nuevas o no reconocidas.
- Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso teniendo en cuenta los mínimos privilegios. No conceda a todos los usuarios privilegios administrativos.
- Desactivar los puertos no utilizados.
- Considere la posibilidad de añadir un banner de correo electrónico a los mensajes recibidos desde fuera de su organización.
- Desactive los hipervínculos en los correos electrónicos recibidos.
- Utilice la autenticación multifactorial siempre que sea posible.
- Utilice contraseñas seguras y cambie regularmente las contraseñas de los sistemas y cuentas de la red, aplicando el plazo más breve posible para los cambios de contraseña. Evitar la reutilización de contraseñas para varias cuentas.
- Exija credenciales de administrador para instalar software.
- Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere la posibilidad de instalar y utilizar una VPN.
- Céntrese en la concienciación y la formación en materia de ciberseguridad. Proporcione regularmente a los usuarios formación sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes (por ejemplo, ransomware y estafas de phishing).