TrickBot kötü amaçlı yazılım operasyonu, temel geliştiricileri, geliştirmeyi gizli BazarBackdoor ve Anchor kötü amaçlı yazılım ailelerine odaklamak için Conti fidye yazılımı çetesine geçtikten sonra kapatıldı.
TrickBot, 2016’dan beri tehdit ortamına hakim olan kötü şöhretli bir Windows kötü amaçlı yazılım bulaşmasıdır.
Kötü amaçlı yazılım, genellikle kötü amaçlı kimlik avı e-postaları veya diğer kötü amaçlı yazılımlar aracılığıyla yüklenir ve farklı görevleri gerçekleştirmek için modülleri indirirken kurbanın bilgisayarında sessizce çalışır.
Bu modüller, aşağıdakiler de dahil olmak üzere çok çeşitli kötü amaçlı etkinlikler gerçekleştirir: bir etki alanının Active Directory Hizmetleri veritabanını çalmak, bir ağ üzerinde yanal olarak yayılma, ekran kilitleme, çerezleri ve tarayıcı şifrelerini çalmakve OpenSSH anahtarlarını çalmak.
TrickBot’un ayrıca, kötü amaçlı yazılımdan etkilenen ağlara ilk erişimi sağlamak için TrickBot grubuyla ortaklık yapan fidye yazılımı operasyonlarıyla da uzun bir ilişkisi vardır.
2019 yılında TrickBot Grubu Ryuk fidye yazılımı operasyonuyla ortak oldu fidye yazılımı çetesinin ağlara ilk erişimini sağlamak için. 2020’de, Ryuk’un yeniden markası olduğuna inanılan Conti fidye yazılımı grubu, aynı zamanda ilk erişim için TrickBot ile ortak oldu.
2021’de TrickBot kendi Diavol adlı fidye yazılımı operasyonuki bu muhtemelen hiçbir zaman gerçekten buhar almamıştır, çünkü geliştiricilerinden biri tutuklandı.
sayısız rağmen kolluk kuvvetleri tarafından yayından kaldırma girişimleriTrickBot botnet’ini başarıyla yeniden inşa etti ve Windows ağlarını terörize etmeye devam etti.
Bu, TrickBot dağıtım kampanyalarının aniden durduğu Aralık 2021’e kadar.
TrickBot işlemi kapanıyor
Geçen yıl boyunca Conti, yüksek profilli kurbanlara yönelik sayısız saldırıdan ve yüz milyonlarca dolarlık fidye ödemelerinden sorumlu olan en dayanıklı ve kazançlı fidye yazılımı operasyonlarından biri haline geldi.
Olarak geçen hafta BleepingComputer tarafından bildirildiellerindeki muazzam servet ve sermaye ve TrickBot’un esas olarak Conti tarafından kullanılması nedeniyle, fidye yazılımı çetesi yavaş yavaş operasyonun kontrolünü ele geçirdi.
Ancak Conti, bu “elit geliştiricileri ve yöneticileri” TrickBot kötü amaçlı yazılımı üzerinde çalışmak için işe almadı, daha çok daha gizli olan üzerinde çalışmak için işe aldı. BazarArka Kapı ve Çapa Siber güvenlik firması AdvIntel tarafından BleepingComputer ile paylaşılan dahili görüşmelerde görüldüğü gibi kötü amaçlı yazılım aileleri.
AdvIntel geçen hafta açıklandı Geliştirmedeki kaymanın nedeni, TrickBot kötü amaçlı yazılımının güvenlik yazılımı tarafından çok kolay algılanması ve işlemin kısa süre sonra kapatılacak olmasıdır.
Dün, AdvIntel CEO’su Vitali Kremez, BleepingComputer’a TrickBot Group’un TrickBot kötü amaçlı yazılım operasyonu için tüm altyapıyı kapattığını söyledi.
TrickBot gitti…24 Şubat 2022 Perşembe itibariyle resmiyet kazandı.
Yakında görüşürüz … ya da değil pic.twitter.com/zWCCpngUI7– Vitali Kremez (@VK_Intel) 24 Şubat 2022
Kremez ile yaptığı konuşmada, BleepingComputer’a Conti fidye yazılımının artık TrickBot Group’un kötü amaçlı yazılım geliştirmesini kendi ihtiyaçları için kontrol ettiği söylendi.
Bu kapatma ile Kremez, başlangıçta dolandırıcılık peşinde koşmak için başlatılan TrickBot suç çetesinin şimdi neredeyse tamamen fidye yazılımlarına ve ağları ihlal etmeye odaklandığını açıkladı.
A dün yayınlanan rapor siber istihbarat firması Intel471 tarafından da operasyonun daha karlı platformlar lehine kapatıldığını doğruladı.
Bir kötü amaçlı yazılımın kapatıldığını görmek her zaman iyi olsa da, gerçek şu ki, fidye yazılımı çeteleri şimdiden daha gizli BazarBackdoor ailesine geçti.
BazarBackdoor, son altı ayda e-posta yoluyla dağıtımın arttığını gördü, ancak TrickBot’un kapanmasıyla, kurumsal varlıkların ağ ihlallerinde muhtemelen daha yaygın hale geldiğini göreceğiz.