После перехода под крыло Conti операторы ботнета стали работать над совершенствованием модуля BazaarBackdoor.
После нескольких месяцев простоя операторы нашумевшего ботнета TrickBot отключили свою инфраструктуру. Таким образом, одна и самых опасных и продолжительных вредоносных операций теперь прекращена.
Как сообщил изданию The Record глава ИБ-компании AdvIntel Виталий Кремез, отключение ботнета было весьма ожидаемо. Дело в том, что решения безопасности научились очень хорошо детектировать вредоносное ПО TrickBot, и его операторы лишились возможности стабильно заражать Windows-машины и продавать к ним доступ своим клиентам.
«В конце концов, Trickbot – сравнительно старое вредоносное ПО, не получавшее серьезных обновлений. Уровень детектирования очень высок, и сетевой трафик ботов легко распознается», – сообщили специалисты Intel471.
По словам Кремеза, еще одна причина отключения ботнета – переход его операторов «под крыло» кибервымогательской группировки Conti.
К концу 2021 года Conti отошел ботнет Emotet, а теперь ее ряды пополнили несколько ключевых членов группировки TrickBot.
Новое руководство, похоже, решило отказаться от кодовой базы и инфраструктуры TrickBot. Как сообщил Кремез, в настоящее время Conti работает с разработчиками TrickBot над совершенствованием и развертыванием BazaarBackdoor – одного из модулей TrickBot, который должен стать заменой ему самому.
В 2020 году американские правоохранительные органы совместно с ИБ-компаниями отключили большую часть C&C-инфраструктуры TrickBot. Хотя группировка лишилась 94% своих серверов, ботнет выжил и вернулся с новыми серверами уже через несколько дней, а через несколько недель начались новые атаки.
В 2021 году власти США предъявили обвинения и задержали двух программистов TrickBot, однако руководство группировки осталось нетронутым. Группировка продолжала функционировать весь 2021 год до входа в состав Conti и перехода на новую кодовую базу.
Перед прекращением операций в декабре прошлого года TrickBot заразил за год более 140 тыс. систем.
По данным ИБ-компании Hold Security, в 2021 году группировка потратила на свою инфраструктуру более $20 млн.
Гравитация научных фактов сильнее, чем вы думаете