Eset представила дослідження шифратора FriedEx (BitPaymer), який атакував лікарні Національної служби охорони здоров'я Шотландії та інші організації. Аналіз доводить, що за створенням шифратора стоїть кібергрупа, яка розробила банківський троян Dridex.

Dridex відомий з 2014 року і є однією з найскладніших шкідливих програм у своїй категорії. Розробка Dridex триває – щотижня виходять нові версії робота, періодично з'являються великі оновлення. Так, на початку 2017 року вийшла версія Dridex із підтримкою техніки інжекту Atom Bombing, пізніше – з використанням уразливості нульового дня у Microsoft Word. Остання версія Dridex 4.80 датована 14 грудня 2017 року.

Шифратор FriedEx привернув увагу дослідників безпеки у липні 2017 року. Шкідлива програма використовується в атаках на великі компанії та фінансові організації та доставляється шляхом RDP-брутфорсу. FriedEx шифрує кожен файл за допомогою випадково згенерованого ключа RC4.

У грудні 2017 року експерти Eset вивчили один із зразків FriedEx і виявили схожість коду з Dridex. Детальне дослідження виявило, що FriedEx використовує ті ж методи приховування інформації про поведінку, що підтвердило гіпотезу - два сімейства шкідливих програм створені одними і тими ж авторами.

Так, у всіх бінарних файлах Dridex та FriedEx збігається функція, що використовується для генерації UserID – рядки з кількох атрибутів зараженої машини. Далі UserID виступає як ідентифікатор комп'ютера жертви у складі ботнета Dridex або для шифратора FriedEx.

Ще одна загальна риса – однакова послідовність функцій у бінарних файлах Dridex та FriedEx. Це може бути результатом використання в обох проектах однієї кодової бази чи статичної бібліотеки.

Деякі вивчені зразки Dridex та FriedEx містять шлях PDB. На його основі можна побачити, що бінарні файли Dridex і FriedEx зібрані в тому самому каталозі.

Крім того, фахівці Eset виявили кілька зразків Dridex та FriedEx з однією датою компіляції. Відмінність у тимчасових мітках – лише кілька хвилин, це дозволяє припустити, що автори одночасно компілювали обидва проекти.

Нарешті, Dridex і FriedEx використовують один і той же шкідливий пакувальник. Однак сам по собі цей факт не може бути доказом, оскільки цей пакувальник помічений і в інших сімействах шкідливих програм, включаючи QBot, Emotet та Ursnif.

Крім очевидної подібності з Dridex, фахівці Eset виявили нову, раніше не задокументовану 64-бітну версію шифратора FriedEx.

На думку фахівців Eset, автори Dridex зберігають високу активність, оновлюючи банківський троян, а також поповнили портфоліо шифратором. Кібергрупа легко адаптується до нових трендів і розробляє нові інструменти, які можуть конкурувати з найбільш сучасними у своїй категорії.