Группировка TrickBot отключила свою инфраструктуру

Группировка TrickBot отключила свою инфраструктуру

После перехода под крыло Conti операторы ботнета стали работать над совершенствованием модуля BazaarBackdoor.

После нескольких месяцев простоя операторы нашумевшего ботнета TrickBot отключили свою инфраструктуру. Таким образом, одна и самых опасных и продолжительных вредоносных операций теперь прекращена.

Как сообщил изданию The Record глава ИБ-компании AdvIntel Виталий Кремез, отключение ботнета было весьма ожидаемо. Дело в том, что решения безопасности научились очень хорошо детектировать вредоносное ПО TrickBot, и его операторы лишились возможности стабильно заражать Windows-машины и продавать к ним доступ своим клиентам.

«В конце концов, Trickbot – сравнительно старое вредоносное ПО, не получавшее серьезных обновлений. Уровень детектирования очень высок, и сетевой трафик ботов легко распознается», – сообщили специалисты Intel471.

По словам Кремеза, еще одна причина отключения ботнета – переход его операторов «под крыло» кибервымогательской группировки Conti.

К концу 2021 года Conti отошел ботнет Emotet, а теперь ее ряды пополнили несколько ключевых членов группировки TrickBot.

Новое руководство, похоже, решило отказаться от кодовой базы и инфраструктуры TrickBot. Как сообщил Кремез, в настоящее время Conti работает с разработчиками TrickBot над совершенствованием и развертыванием BazaarBackdoor – одного из модулей TrickBot, который должен стать заменой ему самому.

В 2020 году американские правоохранительные органы совместно с ИБ-компаниями отключили большую часть C&C-инфраструктуры TrickBot. Хотя группировка лишилась 94% своих серверов, ботнет выжил и вернулся с новыми серверами уже через несколько дней, а через несколько недель начались новые атаки.

В 2021 году власти США предъявили обвинения и задержали двух программистов TrickBot, однако руководство группировки осталось нетронутым. Группировка продолжала функционировать весь 2021 год до входа в состав Conti и перехода на новую кодовую базу.

Перед прекращением операций в декабре прошлого года TrickBot заразил за год более 140 тыс. систем.

По данным ИБ-компании Hold Security, в 2021 году группировка потратила на свою инфраструктуру более $20 млн.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину