Trickbot придумал новый набор трюков



Согласно новому анализу, более чем через год после того, как технологические компании, финансовые фирмы и правоохранительные органы попытались уничтожить ботнет Trickbot, группа, стоящая за вредоносным ПО, похоже, отказывается от киберпреступной платформы в пользу других, более современных инструментов атаки.

Согласно новому отчету, опубликованному на этой неделе компанией Intel 471, специализирующейся на анализе угроз, после сбоя в конце 2020 года кампании Trickbot время от времени возникали в течение 2021 года. программы, такие как Emotet и Conti. Например, в декабре группа Trickbot выпустила три обновления вредоносного ПО по сравнению с восемью обновлениями в предыдущем месяце. После 28 декабря Intel 471 не задокументировала никаких дальнейших обновлений вредоносного ПО.

Сдвиг указывает на то, что операторы Trickbot меняют свою стратегию и более тесно сотрудничают с операторами ботнета Emotet, говорит Грег Отто, исследователь из Intel 471.

«Учитывая, что в отчетах из открытых источников указано, что в Trickbot «работает» до 400 человек, группа, вероятно, не прекращает свою деятельность», — говорит Отто. «Вероятнее всего, группа улучшит свое вредоносное ПО и появится снова, возможно, под другим псевдонимом».

Intel 471 — не единственная компания, которая заметила, что группы Trickbot и Emotet более тесно сотрудничают. В ноябре 2021 года компания Take a look at Level Device Applied sciences, занимающаяся безопасностью, заметила, что более 140 000 машин, зараженных Trickbot, начали распространять вредоносное ПО Emotet на другие системы, что вызвало всплеск заражений Emotet после того, как правоохранительные органы в январе 2021 года предприняли многонациональные действия.

Закрытие Emotet последовало за усилиями Киберкомандования США, Microsoft и Центра обмена и анализа информации финансовых услуг (FS-ISAC) по уничтожению Trickbot в октябре 2020 года. Тем не менее усилия правоохранительных органов продолжались: в сентябре официальные лица арестовали гражданина России в Korea по подозрению в том, что он является одним из разработчиков, помогающих группе Trickbot. Более подробная информация о разрозненной организации киберпреступников, стоящих за Trickbot, стала известна в июне прошлого года, когда Министерство юстиции США выдвинуло обвинения против гражданина Латвии, связанного с этой группой. В обвинительном заключении описывалось, как отсутствие судебного преследования в 2015 году участников бывшей операции, известной как ботнет Dyre, позволило группе реформировать и создать основы группы Trickbot.

Теперь, согласно анализу Intel 471, похоже, что группа снова меняет свои полосы.

«Intel 471 не может подтвердить, но вполне вероятно, что операторы Trickbot постепенно отказались от вредоносного ПО Trickbot в пользу других платформ, таких как Emotet», — говорится в сообщении компании. «В конце концов, Trickbot — это относительно старое вредоносное ПО, которое не подвергалось существенным обновлениям. Уровень обнаружения высок, а сетевой трафик от ботов легко распознается».

Хотя Trickbot, по-видимому, прекратил свою кампанию по заражению новых систем, компьютеры, которые в настоящее время скомпрометированы, все еще взаимодействуют друг с другом и загружают новые вредоносные функции и программы — от кода, который можно внедрить на веб-сайты, до других вредоносных программ, таких как Emotet и Qbot. согласно отчету Intel 471.

«Хотя сами кампании были тихими, инфраструктура управления и контроля, связанная с Trickbot, продолжает работать в обычном режиме, предоставляя дополнительные плагины, веб-инжекты и дополнительные конфигурации для ботов в ботнете», — говорится в отчете. «Эта активность показывает, что, хотя новых кампаний не было, есть свидетельства некоторых усилий по поддержанию командно-административной инфраструктуры Trickbot, даже если эти усилия по сути автоматизированы».

По заявлению Intel 471, группа также использовала вредоносное ПО Bazar для получения скрытого доступа к ценным целям.

Изменение фокуса группы Trickbot показывает приспособляемость киберпреступных групп, но также демонстрирует, что деятельность защитников может иметь влияние.

«Действия правоохранительных органов часто возлагают на киберпреступников издержки, но они будут стараться затаиться, переформулировать свои схемы и вернуться, как только почувствуют, что у них есть новый способ проведения атак», — говорит Отто.

Он добавляет, что компании должны быть в курсе обновлений групп, стоящих за крупными кампаниями вредоносных программ, и их тактики, чтобы быть лучше подготовленными. Группа, стоящая за Trickbot, произошла от группы Dyre в 2015 году и, вероятно, продолжит эту эволюцию. По словам Отто, по мере того, как индикаторы компрометации меняются, защитники должны осознавать это.

«Обнаружение следов Trickbot, — говорит он, — часто является первым признаком того, что злоумышленники нацелены на вашу организацию и, возможно, готовят почву для дальнейших атак».

https://cyberxhack.org/