Como el conejito Energizer, Trickbot sigue y sigue



Los esfuerzos recientes para acabar con la virulenta botnet han tenido un gran éxito, pero no del todo.

Los operadores de la botnet Trickbot que ha infectado a más de 1 millón de sistemas en todo el mundo con ransomware y otro malware están proporcionando un ejemplo de libro de texto de lo difícil que puede ser eliminar realmente las operaciones internacionales de ciberdelincuencia.

Semanas después de que US Cyber ​​Command, Microsoft y varios otros tomaran medidas coordinadas para interrumpir ampliamente la actividad de Trickbot, hay indicios de que los operadores de botnets aún no se han rendido por completo.

La firma de inteligencia de amenazas Intel 471 informó esta semana que había observado señales de que una nueva versión de Trickbot se está distribuyendo a través de spam, incluso cuando los operadores del malware han comenzado a usar una herramienta diferente conocida como BazarLoader para distribuir el ransomware Ryuk.

Según Intel 471, BazarLoader parece haber sido desarrollado por el mismo grupo detrás de Trickbot, compartiendo parte del mismo código e infraestructura que este último. Actualmente no está claro si los operadores de Trickbot se han cambiado completamente a BazarLoader o si volverían a usar la botnet de Trickbot en una fecha posterior, dijo la firma de inteligencia de amenazas en un comunicado. reporte esta semana.

La versión de ransomware Ryuk que se distribuye en cantidades cada vez mayores también se ha asociado con Trickbot, dijo Intel 471. Juntos, los datos indican que el grupo detrás de Trickbot todavía está lanzando con éxito ataques de ransomware dirigidos, aunque su infraestructura first parece haber sido prácticamente eliminada, dijo Intel 471.

Kacey Clark, investigadora de amenazas de Electronic Shadows, dice que la entrega de ransomware de Ryuk y Conti ha aumentado en las últimas semanas, al igual que los grupos de amenazas que compran acceso a máquinas infectadas con Trickbot para aprovechar sus propios ataques.

«A lo largo de los esfuerzos de eliminación llevados a cabo por los profesionales de la seguridad, los operadores de Trickbot han intentado continuamente crear nuevas instancias (de comando y command)», dice Clark. «(Como resultado), los operadores de Trickbot aún mantienen el acceso a la infraestructura fuera de Estados Unidos, lo que les permite continuar con sus ataques».

Trickbot y el grupo detrás de él han presentado un problema persistente para los defensores durante varios años. El malware apareció por primera vez en 2016 como un troyano bancario y, a lo largo de los años, se ha transformado en una herramienta sofisticada para entregar ransomware, criptomineros y otros troyanos bancarios. Los propios operadores del malware han establecido lo que se cree que es una operación lucrativa de crimeware como servicio que, entre otras cosas, vende acceso a miles de redes que han violado previamente.

El grupo se ha asociado con un conjunto de herramientas de malware particularmente sofisticado llamado Anchor, que está diseñado para usarse contra objetivos de alto valor. El año pasado, se cree que los operadores de Trickbot proporcionaron al Grupo Lazarus de Corea del Norte acceso a Anchor en una colaboración única entre un grupo de ciberdelincuencia y un actor avanzado de amenazas persistentes. A principios de este año, hubo preocupaciones sobre el grupo que podría apuntar también a la infraestructura electoral.

Intentos de eliminación coordinados
Entre septiembre y principios de noviembre, US Cyber ​​Command, Microsoft y varios otros, incluido el Comité de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC), tomaron una serie de pasos para interrumpir y romper las actividades de Trickbot. Los esfuerzos incluyeron interrumpir los servidores de again-finish del grupo y apoderarse de numerosas direcciones IP asociadas con los servidores de comando y command (C2) de Trickbot.

Mark Arena, director ejecutivo de Intel 471, dice que US Cyber ​​Command, entre otras acciones, probablemente violó el again-close de la infraestructura de Trickbot y lo usó para modificar los archivos de configuración que se enviaron a los sistemas infectados de Trickbot.

«Las tácticas utilizadas por el Comando Cibernético de Estados Unidos parecían estar orientadas a aislar a los actores detrás de Trickbot de los sistemas que habían infectado», dice Arena. Es probable que la acción haya causado que los operadores de Trickbot perdieran el acceso a una «cantidad decente» de sistemas infectados, dice.

El enfoque de Microsoft, mientras tanto, period derribar los servidores de control de Trickbot poniéndose en contacto con las respectivas empresas de alojamiento y los ISP mediante órdenes judiciales.

Las acciones han interrumpido considerablemente las operaciones de Trickbot pero no las han borrado por completo. Con cada impacto en la infraestructura, el grupo ha seguido ideando formas de recuperar el manage. Por ejemplo, cuando Cyber ​​Command inicialmente logró envenenar los archivos de configuración de Trickbot, el grupo pudo restaurar archivos de trabajo en sus servidores C2 en 24 horas, dijo Intel 471. De manera similar, cuando Microsoft comenzó sus operaciones de eliminación, Trickbot siguió configurando una nueva infraestructura en respuesta.

Por el momento, los esfuerzos sustanciales para sofocar la actividad de Trickbot parecen haber funcionado en gran medida. Como mínimo, las acciones han obligado a los actores de la amenaza a dedicar tiempo a idear nuevas formas de responder.

«Se espera que inviertan mayores esfuerzos en redundancia, incluidos servidores de comando y handle distribuidos globalmente y métodos de comando y command de respaldo que son resistentes a las eliminaciones», dice Arena. «El único golpe serious a largo plazo que esperamos que sea efectivo para detener a Trickbot de forma permanente sería el arresto de los criminales detrás de Trickbot».

Clark dice que la actividad continua de Trickbot muestra cuán resistentes y rápidos pueden ser los operadores de malware cuando se les presiona.

«A medida que los esfuerzos de eliminación obligaron a una cantidad significativa de infraestructura de Trickbot fuera de línea, los operadores identificaron nuevos servidores C2 y aprovecharon la infraestructura fuera de banda para continuar con su campaña», dice. «Desafortunadamente, las operaciones de este calibre son resistentes y complejas, por lo que es muy difícil eliminar por completo el malware».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial