Операторы TrickBot постепенно отказываются от ботнета и заменяют его Emotet


TrickBot, когда-то один из самых активных ботнетов в Интернете и основное средство доставки программ-вымогателей, больше не приносит новых жертв. Однако есть признаки того, что его операторы переводят уже зараженные компьютеры на другие ботнеты, включая Emotet.

«Наша команда с высокой уверенностью оценивает, что операторы Trickbot тесно сотрудничают с операторами Emotet», — говорится в новом отчете исследователей из охранной фирмы Intel 471. «Есть явные доказательства этой связи, например, возрождение Emotet началось с Trickbot».

TrickBot и Emotet давно дружат

TrickBot и Emotet — это две троянские программы, которые начинались как вредоносные инструменты, предназначенные для кражи учетных данных онлайн-банкинга, но превратились в платформы для распространения вредоносных программ, где они сдавали доступ к системам другим киберпреступным группировкам. Исследователи безопасности давно подозревали, что группа, стоящая за TrickBot, была одним из крупнейших клиентов Emotet, и два ботнета регулярно распространяли друг друга на зараженных компьютерах. Кроме того, TrickBot служил одним из основных векторов заражения для программы-вымогателя Ryuk.

В октябре 2020 года TrickBot стал объектом скоординированных действий Microsoft, других отраслевых партнеров и интернет-провайдеров, что привело к нарушению работы всех его серверов управления и контроля. Однако его создатели начали новые спам-кампании, чтобы восстановить контроль над зараженными компьютерами, и постепенно начали восстанавливать ботнет.

За этим в январе 2021 года последовал демонтаж инфраструктуры управления и контроля Emotet правоохранительными органами Европы. Однако, как и TrickBot, Emotet тоже начал восстанавливаться, и основной причиной этого был сам TrickBot. «14 ноября 2021 года мы наблюдали, как Trickbot отправляет своим ботам команду на загрузку и выполнение образцов Emotet», — сказали исследователи Intel 471. «Это положило начало возвращению Emotet».

Нет новых кампаний TrickBot

Исследователи могут легко отслеживать новые образцы TrickBot, поскольку они содержат уникальные идентификационные коды, называемые gtags, которые операторы используют для определения успеха каждой кампании по распространению. Эти gtags состоят из трех букв и трех цифр, известных как вложенные теги.

Авторское право © 2022 IDG Communications, Inc.

https://cyberxhack.org/