Dört yıllık faaliyet ve sayısız kaldırma girişiminden sonra, üst düzey üyeleri yeni yönetim altında hareket ederken, TrickBot’un ölüm çanı çaldı, daha gizli BazarBackdoor kötü amaçlı yazılımıyla değiştirmeyi planlayan Conti fidye yazılımı sendikası.
TrickBot, bilgi çalma, parola çalma, Windows etki alanlarına sızma, ağlara ilk erişim ve kötü amaçlı yazılım teslimi dahil olmak üzere çeşitli kötü amaçlı etkinlikler için birden çok modül kullanan bir Windows kötü amaçlı yazılım platformudur.
TrickBot, 2016’dan beri kötü amaçlı yazılım tehdidi ortamına hükmediyor, fidye yazılımı çeteleriyle ortaklık kuruyor ve dünya çapında milyonlarca cihazda hasara neden oluyor.
Ryuk fidye yazılımı çetesi, işlere ilk erişim için başlangıçta TrickBot ile ortaklık kurdu, ancak şirket ağlarına erişmek için geçtiğimiz yıl kötü amaçlı yazılımı kullanan Conti Ransomware çetesinin yerini aldı.
Overdose adıyla bilinen elit bir bölüm olan TrickBot kampanyalarını yöneten grubun operasyonlarından en az 200 milyon dolar kazandığı tahmin ediliyor.
Conti, TrickBot operasyonunu devraldı
Siber suç ve çekişmeli yıkım şirketi Advanced Intelligence’daki araştırmacılar (AdvIntel), 2021’de Conti’nin TrickBot’un yüksek kaliteli ağ erişimi tedarikinden tek yararlanıcı olduğunu fark etti.
Bu zamana kadar, TrickBot’un çekirdek geliştirici ekibi zaten daha gizli bir kötü amaçlı yazılım parçası oluşturmuştu. BazarArka Kapıfidye yazılımının dağıtılabileceği değerli kurumsal ağlara uzaktan erişim için kullanılır.
TrickBot truva atı, antivirüs satıcıları tarafından kolayca tespit edilebilir hale geldiğinden, tehdit aktörleri, özellikle gizli olarak geliştirildiği için ağlara ilk erişim için BazarBackdoor’a geçmeye başladı. yüksek değerli hedeflerden ödün vermek.
Ancak AdvIntel, BleepingComputer ile paylaşılan bir raporda, 2021’in sonunda Conti’nin TrickBot botnet’in “birden fazla seçkin geliştiricisini ve yöneticisini” kendine çekmeyi başardığını ve operasyonu bir ortak yerine yan kuruluşuna dönüştürdüğünü belirtti.
AdvIntel, araştırmacıların erişebildiği ve BleepingComputer ile paylaştığı dahili Conti konuşmalarına dayanarak, BazarBackdoor’un TrickBot’un araç setinin bir parçası olmaktan, gelişimi Conti fidye yazılımı sendikası tarafından kontrol edilen bağımsız bir araca geçtiğini söylüyor.
Conti grubunun ana yöneticisi, TrickBot’u devraldıklarını söyledi. Ancak, “bot ölü” olduğundan, ilk erişim elde etmenin birincil yolu olarak Conti’yi TrickBot’tan BazarBackdoor’a taşıyorlar.
Conti tarafından “satın alındıktan” sonra, [TrickBot leaders] şimdi altlarında güvenli bir zemine sahip umutlar açısından zenginler ve Conti her zaman mevcut yetenekten yararlanmanın bir yolunu bulacaktır” – AdvIntel
Conti operasyonu, piyasaya sürülmesinden bu yana, en dayanıklı ve kazançlı fidye yazılımı gruplarından biri olarak yükselmesine izin veren bir davranış kurallarını sürdürdü. rakiplerine karşı kolluk kuvvetlerinin baskıları.
AdvIntel, grubun, vurdukları kuruluşlar nedeniyle kolluk kuvvetlerinin harekete geçmesine neden olacak rastgele bağlı kuruluşlarla çalışmak yerine “güvene dayalı, ekip tabanlı” bir model benimseyerek normal siber suç işlerini yürütebildiğini söylüyor.
TrickBot kötü amaçlı yazılım algılamaları daha az yaygınlaşacak olsa da, AdvIntel’in son bulguları, işlemin bitmediğini ve yüksek değerli hedefler için daha uygun kötü amaçlı yazılımlarla onu bir sonraki düzeye taşıyan yeni bir kontrol grubuna taşındığını gösteriyor.