Cyberthreat.id - Biro Investigasi Federal (FBI) memiliki bukti terperinci yang menjelaskan hubungan antara ransomware baru Diavol dengan TrickBot Group, geng produktif di balik trojan perbankan eponymous.

Diavol masuk radar peneliti pada pertengahan 2021 ketika perusahaan keamanan siber Fortinet menerbitkan analisis teknis tentang Diavol, yang mengaitkannya dengan Wizard Spider, nama lain untuk Trickbot Group, yang juga telah dilacak oleh para peneliti sehubungan dengan ransomware Ryuk "pemerasan ganda".

Ryuk secara selektif dikerahkan terhadap target bernilai tinggi yang menjadi sasaran pemerasan ganda, di mana data mereka dienkripsi, dicuri, dan kemudian berpotensi dibocorkan kecuali korban membayar uang tebusan.

Alat Trickbot termasuk pintu belakang Anchor_DNS, alat untuk mentransmisikan data antara mesin korban dan server yang dikendalikan Trickbot menggunakan tunneling Domain Name System (DNS) untuk menyembunyikan lalu lintas berbahaya dengan lalu lintas DNS normal.

FBI telah memantau Diavol sejak Oktober tahun lalu. Kaitan antara Diavol dan Trickbot adalah bahwa pengidentifikasi bot unik (Bot ID) yang dihasilkan oleh Diavol untuk setiap korban "hampir identik" dengan format yang digunakan oleh malware Trickbot dan Anchor_DNS. Setelah ID Bot dibuat oleh Diavol, file pada mesin itu dienkripsi dan ditambahkan dengan ekstensi file ".lock64" dan mesin menampilkan pesan permintaan tebusan.

"Diavol dikaitkan dengan pengembang dari Grup Trickbot, yang bertanggung jawab atas Trojan Perbankan Trickbot," kata FBI, memperingatkan bahwa mereka telah melihat permintaan uang tebusan hingga US$ 500 ribu atau setara Rp7,1 miliar.

Tidak seperti Ryuk, FBI belum melihat Diavol membocorkan data korban, meskipun pesan kelompok tersebut berisi ancaman untuk melakukannya.

Catatan tebusan Diavol menyatakan:

"Pertimbangkan bahwa kami juga telah mengunduh data dari jaringan Anda. Bahwa dalam hal tidak melakukan pembayaran, akan dipublikasikan di situs web berita kami."

"Diavol mengenkripsi file hanya menggunakan kunci enkripsi RSA, dan kodenya mampu memprioritaskan jenis file untuk dienkripsi berdasarkan daftar ekstensi yang telah dikonfigurasi sebelumnya yang ditentukan oleh penyerang," kata FBI seperti dilansir ZDnet, Jumat,  21 Januari  2022.

"Sementara tuntutan tebusan berkisar antara US$10.000 hingga US$500.000, aktor di balik ransomware Diavol telah bersedia melibatkan korban dalam negosiasi tebusan dan menerima pembayaran yang lebih rendah."

Meskipun FBI mengakui beberapa korban telah menegosiasikan uang tebusan dengan operator Diavol, kesepakatan masih terhambat karena tidak menjamin file akan dipulihkan. FBI juga menyarakan untuk tidak membayar permintaan uang tebusan karena membuat penyerang makin berani untuk melakukan serangan serupa di masa depan.

Di sisi lain, FBI mengungkapkan simpati kepada korban yang melakukan negosiasi dengan penyerang.

"FBI memahami bahwa ketika korban dihadapkan pada ketidakmampuan untuk membuat sistemnya berfungsi, semua opsi dievaluasi untuk melindungi pemegang saham, karyawan, dan pelanggan. FBI mungkin dapat memberikan sumber daya mitigasi ancaman kepada mereka yang terkena dampak ransomware Diavol," katanya.

FBI juga meminta organisasi korban untuk berbagi dengannya "log batas yang menunjukkan komunikasi ke dan dari alamat IP asing, informasi dompet Bitcoin, file dekripsi, dan/atau sampel file terenkripsi yang tidak berbahaya."

Tetapi menyediakan sumber daya mitigasi berbeda dengan membantu memulihkan dana yang dibayarkan. Dalam kasus Colonial Pipeline, FBI dan Departemen Kehakiman memulihkan sekitar setengah dari dana yang diperas dengan menggunakan buku besar publik Bitcoin untuk melacak pembayaran kembali ke "alamat tertentu, di mana FBI memiliki 'kunci pribadi', atau secara kasar setara dengan kata sandi yang diperlukan untuk mengakses aset yang dapat diakses dari alamat Bitcoin tertentu."

Tetapi tidak setiap organisasi korban adalah penyedia infrastruktur penting yang menarik perhatian Gedung Putih, yang sejak itu meminta Kremlin untuk mengambil tindakan terhadap serangan ransomware yang berlokasi di Rusia. Pihak berwenang Rusia pekan lalu melakukan serangan langka terhadap anggota REvil, yang memiliki hubungan dengan DarkSide.[]