Todavía apenas hemos escuchado hablar sobre Diavol, pero o mucho me equivoco, o en poco tiempo nos tendremos que acostumbrar a escuchar su nombre asociado a nuevos ataques de ransomware. Y es que, según ha publicado la empresa de ciberseguridad Fortinet en su blog, este malware parece estar firmado por uno de los grandes grupos cibercriminales de la actualidad, Wizard Spider, responsables, entre otros, del más que temible Trickbot. Si supera su fase de pruebas, que intuyo que es su estado actual, tendremos que volver a hablar de él.
Detectado a principios de junio, Diavol intentó entregar su carga útil en varios sistemas. Afortunadamente esta operación fue abortada por el software EDR de Fortinet que protege las infraestructuras en las que se encuentran los sistemas que fueron el objetivo de dichos ataques. Un recordatorio más, a sumar a una lista prácticamente infinita, de las razones por las que resulta imprescindible contar con soluciones de seguridad para evitar estas amenazas.
Wizard Spider, responsable de Diavol, de Trickbot y de otros patógenos identificados en el pasado, es una organización cibercriminal con base en Rusia y, al menos en principio, con motivación exclusivamente financiera. Pero digo en principio porque hay algo que no debemos olvidar, y es que supuestamente Grim Spider es, podríamos decir, una división de Wizard Spider, y recordemos que Grim Spider son los responsables de Ryuk, el ransomware del que ya te hemos hablado en muchas ocasiones, y que hace unos meses fue empleado en el ataque al SEPE.
La relación entre Diavol y Wizard Spider no está confirmada, al menos de momento, sin embargo los investigadores de Fortinet sí que han encontrado suficientes elementos semejantes entre Diavol y otros patógenos firmados por la organización como para tener firmes sospechas de su autoría. Un elemento clave es la estructura de sus patógenos, en lo referido a su funcionamiento. También encontraron algunas diferencias, por ejemplo no se ha podido confirmar que Diavol sea capaz de exfiltrar datos. Sin embargo, esto no es necesariamente una prueba de que no es obra suya.
Cabe la posibilidad, por ejemplo, de que Wizard Spider se plantee Diavol como un malware de difusión masiva, que pretenda infectar tantos sistemas como sea posible, para exigir un rescate «asequible». En tal caso, la exfiltración de datos sería mucho más compleja, pues requeriría de una altísima inversión en servidores y soportes de almacenamiento para almacenar los datos exfiltrados, así como de un equipo de personas dedicado exclusivamente a la gestión de los mismos. Así, tiene sentido pensar que podría ser una estrategia de diversificación.
Otra posibilidad tiene que ver con la juventud de este malware. Hasta principios de junio no se habían detectado muestras del mismo, y de momento no hay variantes, lo que nos invita a pensar que Diavol está, como quien dice, recién salido del laboratorio, por lo que es posible que sus responsables, potencialmente Wizard Spider pero sin certeza de ello, estén empezando a probarlo in the wild, con el fin de comprobar si tiene futuro. En tal caso, podemos esperar ver las primeras variantes evolucionadas en unos pocos meses.
La entrada Diavol, otro ransomware de Wizard Spider es original de MuySeguridad. Seguridad informática.