针对勒索软件Diavol与制作TrickBot的骇客组织的关连，IBM找到更多线索

资安业者Fortinet在7月初揭露名为的Diavol勒索软件，并基于与Conti有许多共通的特性，认为可能是出自制作Trickbot僵尸病毒的骇客“Wizard Spider”之手。对于这个勒索软件的研究，最近出现了新的进展：IBM X-Force威胁情报研究团队指出，他们找到了Diavol的早期开发版本并进行研究，根据程式码的编排方式来判断，这款勒索软件应该就是来自Wizard Spider。

原本IBM进行研究的动机，是想要针对Fortinet发现的Diavol进一步分析，但他们找到了另一款Diavol勒索软件的档案，与先前被Fortinet发现的勒索软件存在许多相似之处，当中最主要的差别，是IBM找到的版本仍处于开发阶段，看起来是骇客用来测试的档案，而不像Fortinet找到的档案，已经是具备完整功能的勒索软件。

这两个版本的Diavol编译时间存在明显的出入，IBM指出，Fortine发现的版本于2021年4月30日编译，但他们找到的是在2020年3月5日制作。此外，这个开发版本的档案，在2021年1月27日被上传到恶意软件分析平台VirusTotal，档案名称为malware.exe。

再者，针对加密档案的方式，开发版本的Diavol与后继版本也有所不同──开发版本采用RSA算法，攻击者可设置需要优先加密的档案类型，并且能终止指定的处理程序或是服务，以免加密档案的过程遭到中断。相较之下，先前被揭露的版本采用了异步程序呼叫（Asynchronous Procedure Calls，APC），取代许多勒索软件使用的对称式加密机制。

此外，由于是开发版本，研究人员表示，他们执行Diavol的过程中，虽然会将档案加密，但不会删除原始档案，如果被拿来用于攻击行动，受害者根本不会支付赎金。

而为何会IBM认为Diavol出自Wizard Spider？该公司提出两项发现。首先，针对Diavol执行的过程中，该勒索软件会结合收集到的受害电脑资讯，产生一组Bot ID，以便攻击者进行追踪，这组。而IBM发现，这组Bot ID的格式，与TrickBot恶意软件几乎相同，仅增加了使用者名称（username）的部分，而这样的格式，特征也与Wizard Spider另一款恶意软件Anchor DNS相似。

另一项与Wizard Spider有关的证据，则是与骇客偏好的语言有关。研究人员指出，在Diavol开发版与C2服务器通讯的HTTP标头中，设置偏好以俄语呈现内容，而操作TrickBot的骇客也惯用俄文。

而与语言相关的线索，还有开发版本Diavol具备检查受害电脑操作系统语言的机制，一旦发现是位于俄罗斯，或是独立国家联合体（Commonwealth of Independent States）的电脑，就不会发动攻击。