# Diavol > Tipo: **ransomware** · S0659 · [MITRE ATT&CK](https://attack.mitre.org/software/S0659) > [!info] Resumo Operacional > Ransomware RaaS do grupo Wizard Spider, observado pela primeira vez em junho de 2021 sendo entregue via BazarLoader. Usa criptografia assincrona APC-based (técnicamente incomum para ransomware). Compartilha código com TrickBot e Conti. O DOJ indiciou cidadao russo em 2022 por operar Diavol contra hospitais americanos. Sem restricao a paises CIS - ataca qualquer alvo. ## Visão Geral [[s0659-diavol|Diavol]] e uma variante de ransomware operada como servico (RaaS) pelo grupo [[g0102-conti-group|Wizard Spider]], o mesmo coletivo responsavel pelo TrickBot, [[conti|Conti]] e [[s0534-bazar|BazarLoader]]. Identificado pela primeira vez em junho de 2021 pela Fortinet e FBI, o [[s0659-diavol|Diavol]] se distingue técnicamente por usar um mecanismo de criptografia baseado em chamadas de procedimento assincrono (APC) - uma abordagem incomum que aproveita o modelo de threading do Windows para criptografar arquivos de forma eficiente e evasiva. O nome "Diavol" significa "diabo" em romeno, possívelmente um indicador da origem linguistica dos desenvolvedores. A conexão do [[s0659-diavol|Diavol]] com o ecossistema [[g0102-conti-group|Wizard Spider]] e evidênciada por múltiplos indicadores tecnicos: o formato de Bot ID usado (ex: `PC_[COMPUTERNAME]_W10x64_[USERNAME]`) e identico ao usado pelo TrickBot; o código de enumeracao de processos e criação de mutex compartilha estrutura com o [[conti|Conti]]; e o deploy inicial e feito via [[s0534-bazar|BazarLoader]], o loader-as-a-service preferêncial do Wizard Spider. Esta conexão coloca o Diavol dentro de um ecosistema de ransomware extremamente profissional com capacidade de comprometer organizacoes de grande porte. Em novembro de 2021, o FBI públicou alertas sobre o uso do [[s0659-diavol|Diavol]] contra hospitais e infraestrutura de saúde nos EUA. Em janeiro de 2022, o DOJ indiciou Alla Witte, uma cidada russo-canadense, por seu papel nas operações do Diavol - tornando-o um dos primeiros ransomwares com uma inspecao judicial pública vinculando operadores individuais. A operação tipica dura aproximadamente 32 horas desde o acesso inicial até a criptografia completa. **Plataformas:** Windows ## Como Funciona O [[s0659-diavol|Diavol]] e distribuido por [[g0102-conti-group|Wizard Spider]] via o loader [[s0534-bazar|BazarLoader]], frequentemente entregue via campanha de phishing (BazarCall/BazarLoader). Após o BazarLoader estabelecer accesso inicial e realizar reconhecimento, o Diavol e implantado como payload de ransomware. O ransomware realiza extensa fase de discovery (usuarios, processos, drives, compartilhamentos de rede), para servicos criticos ([[t1489-service-stop|T1489]]) e desativa ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]) antes de iniciar criptografia via APC. Os dados sao exfiltrados via FileZilla antes da criptografia para extorsao dupla. O mecanismo de criptografia APC insere chamadas de criptografia em threads de outros processos para ofuscar a atividade. Arquivos sao criptografados com extensao aleatoria; a nota de resgaté e gravada em cada diretorio como `README_FOR_DECRYPT.txt`. O wallpaper da area de trabalho e substituido ([[t1491-001-internal-defacement|T1491.001]]) com mensagem de extorsao. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>BazarCall phishing<br/>Email com link de callback"] --> B["BazarLoader<br/>Reconhecimento de 24h<br/>Coleta AD, shares, hosts"] B --> C["Pre-Ransomware<br/>Exfiltração via FileZilla<br/>Dados para extorsao dupla"] C --> D["Preparação<br/>Para servicos criticos<br/>Desativa AV/EDR"] D --> E["Criptografia APC<br/>Injeta em threads de processos<br/>Extensao aleatoria nos arquivos"] E --> F["Impacto<br/>Nota de resgaté<br/>Wallpaper alterado"] F --> G["Extorsao Dupla<br/>Pagar ou dados publicados<br/>Portal de vazamento Wizard Spider"] style A fill:#1a1a2e,color:#e0e0e0 style B fill:#16213e,color:#e0e0e0 style C fill:#0f3460,color:#e0e0e0 style D fill:#533483,color:#e0e0e0 style E fill:#e94560,color:#ffffff style F fill:#e94560,color:#ffffff style G fill:#c62a2a,color:#ffffff ``` ## Timeline ```mermaid timeline title Diavol - Historico 2021-06 : Identificado pela primeira vez pela Fortinet : Entregue via BazarLoader do Wizard Spider 2021-07 : FBI emite alerta sobre uso contra hospitais : Incidentes em infraestrutura de saude EUA 2021-11 : Confirmada conexão com TrickBot/Conti : Fortinet e FBI publicam análise técnica 2022-01 : DOJ indicia Alla Witte por operar Diavol : Primeira inculpacao individual associada 2022-02 : Ministerio da Justica EUA confirma atividade : Ataques a organizacoes financeiras 2022-06 : Atividade reduzida após queda do Conti : Wizard Spider fragmenta operacoes 2023 : Variantes observadas com novas campanhas : Grupo migra para outros ransomwares ``` ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia APC de arquivos - [[t1489-service-stop|T1489 - Service Stop]] - para servicos criticos antes da criptografia - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - desativa AV/EDR - [[t1491-001-internal-defacement|T1491.001 - Internal Defacement]] - altera wallpaper com nota de resgaté - [[t1485-data-destruction|T1485 - Data Destruction]] - destruicao de backups e shadow copies - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - enumeracao de usuarios - [[t1057-process-discovery|T1057 - Process Discovery]] - listagem de processos em execução - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - enumeracao de arquivos - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - identificação de compartilhamentos SMB - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - acesso a compartilhamentos - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - identificação de hosts na rede - [[t1016-system-network-configuration-discovery|T1016 - System Network Discovery]] - configuração de rede - [[t1027-003-steganography|T1027.003 - Steganography]] - recursos ocultos no binario - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - ofuscacao do payload - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - C2 via HTTP ## Grupos que Usam - [[g0102-conti-group|Wizard Spider]] - criador e operador principal ## Relevância LATAM/Brasil O [[s0659-diavol|Diavol]] representa o modelo de ransomware que mais afetou o Brasil nos ultimos anos: o grupo [[g0102-conti-group|Wizard Spider]] e seu ecossistema (TrickBot, Conti, BazarLoader) foram responsaveis por dezenas de ataques a organizacoes brasileiras do setor financeiro e saúde entre 2020 e 2022. O modelo RaaS permite que afiliados locais operem o ransomware contra alvos brasileiros, e a ausência de qualquer verificação de lingua ou pais (ao contrario de outros ransomwares que evitam paises CIS) significa que o Brasil e um alvo completamente válido. A conexão com hospitais e infraestrutura de saúde documentada pelo FBI e altamente relevante: o Brasil possui uma infraestrutura hospitalar ampla com sistemas muitas vezes desatualizados e sem controles adequados de backup e segurança. O modelo de extorsao dupla do Diavol - exfiltração de dados antes de criptografar - cria pressao adicional sobre organizacoes de saúde que possuem dados sensiveis de pacientes. ## Detecção - Monitorar actividade de BazarLoader como precursor - detecção precoce do loader pode prevenir deploy do ransomware - Alertar para volumes anormais de criação/modificacao de arquivos (indicador de criptografia em progresso) - Detectar exclusao de shadow copies via `vssadmin` ou `wmic shadowcopy delete` - Monitorar criação de mutex com padrao `Diavol` ou formato Bot ID `PC_*_W10x64_*` - Implementar monitoramento de FileZilla em hosts que nao devem usar clientes FTP - indicador de exfiltração pre-ransomware ```sigma title: Diavol Ransomware Shadow Copy Deletion status: stable logsource: category: process_creation product: windows detection: selection_vssadmin: Image|endswith: '\vssadmin.exe' CommandLine|contains: 'delete shadows' selection_wmic: Image|endswith: '\wmic.exe' CommandLine|contains: 'shadowcopy delete' condition: selection_vssadmin or selection_wmic falsepositives: - Legitimaté backup software cleanup level: critical tags: - attack.impact - attack.t1490 - attack.t1485 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0659) MITRE ATT&CK - S0659 Diavol (2024) - [2](https://www.ic3.gov/Media/News/2022/220120.pdf) FBI - Diavol Ransomware Alert TLP WHITE (2022) - [3](https://www.fortinet.com/blog/threat-research/diavol-new-ransomware-used-by-wizard-spider) Fortinet - Diavol: New Ransomware Used by Wizard Spider (2021) - [4](https://www.justice.gov/opa/pr/latvian-national-charged-alleged-role-transnational-cybercrime-organization) DOJ - Alla Witte Charged for Role in TrickBot/Diavol (2022) - [5](https://unit42.paloaltonetworks.com/diavol-ransomware/) Unit 42 - Diavol Ransomware Analysis (2021)