0
0
Equipe principal de desenvolvedores do TrickBot já havia criado um malware mais furtivo, o BazarBackdoor, usado principalmente para acesso remoto a redes corporativas
Após quatro anos de atividades e inúmeras tentativas frustadas de remoção, o TrickBot parece estar longe de ter sua sentença de morte decretada, à medida que seus principais operadores se movem constantemente e ele passa a atuar com outra denominação ou sob nova administração. O mais recente movimento nesse sentido vem com a notícia de que o grupo do ransomware Conti planeja substituir o Trickbot pelo malware BazarBackdoor.
O TrickBot é uma plataforma de malware do Windows que usa vários módulos para várias atividades maliciosas, incluindo roubo de informações, roubo de senhas, infiltração de domínios do Windows, acesso inicial a redes e entrega de malware. Ele domina o cenário de ameaças de malware desde 2016, em parceria com gangues de ransomware, e vem causando estragos em milhões de dispositivos em todo o mundo.
A gangue do ransomware Ryuk inicialmente fez parceria com o TrickBot para acesso inicial aos trabalhos, mas foi substituída pelo Conti que vem usando o malware desde o ano passado para obter acesso a redes corporativas. Estima-se que o grupo responsável pelas campanhas do TrickBot — uma divisão de elite conhecida pelo nome Overdose — tenha faturado pelo menos US$ 200 milhões com suas operações.
Conti assume operação do TrickBot
Pesquisadores da empresa de segurança cibernéticas Advanced Intelligence (AdvIntel) notaram que, em 2021, o Conti se tornou o único beneficiário do fornecimento de acessos de rede de alta qualidade do TrickBot. A essa altura, a equipe principal de desenvolvedores do TrickBot já havia criado um malware mais furtivo, o BazarBackdoor, usado principalmente para acesso remoto a redes corporativas nas quais o ransomware poderia ser implantado.
Como o trojan TrickBot tornou-se facilmente detectável por ferramentas de fornecedores de antivírus, os operadores da ameaça começaram a mudar para o BazarBackdoor para acesso inicial às redes, pois foi desenvolvido especificamente para comprometer furtivamente alvos de alto valor.
Até o fim de 2021, o Conti conseguiu atrair “vários desenvolvedores e gerentes de elite” da botnet TrickBot, transformando a operação em sua subsidiária e não em parceira, observa a AdvIntel em um relatório. Com base em conversas internas do Conti que os pesquisadores tiveram acesso e compartilharam com o BleepingComputer, a AdvIntel diz que o BazarBackdoor deixou de fazer parte do kit de ferramentas do TrickBot para ser uma ferramenta autônoma cujo desenvolvimento é controlado pelo “sindicato” do ransomware Conti.
O administrador principal do grupo Conti disse que eles assumiram o TrickBot. No entanto, como o “bot está morto”, eles estão movendo o Conti do TrickBot para o BazarBackdoor como a principal maneira de obter acesso inicial. Desde o seu lançamento, a operação Conti manteve um código de conduta que permitiu que ela se destacasse como um dos grupos de ransomware mais resilientes e lucrativos, imperturbável pelos órgão da lei contra seus concorrentes.
A AdvIntel diz que o grupo conseguiu administrar seus negócios normais do cibercrime adotando um modelo “baseado na confiança e em equipe”, em vez de trabalhar com afiliados aleatórios que despertariam a atenção de órgãos de aplicação da lei e causariam inúmeras ações.Embora as detecções do TrickBot se tornem menos comuns, as recentes descobertas da AdvIntel mostram que a operação não está concluída e apenas mudou para um novo grupo de controle que a leva ao próximo nível com um malware mais adequado para alvos de alto valor.
FONTE: CISO ADVISOR