TrickBot elimina la infraestructura de sus servidores

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El rey de los trucos ha muerto. ¿O volverá?

Si bien ya asumimos que TrickBot estaba muerto, el cierre de la infraestructura del servidor el 24 de febrero de 2022 no pasó desapercibido. ¿Es este realmente el final de una de las botnets más activas de la última década?

Historia

El auge de TrickBot comenzó cuando era un troyano bancario diseñado para robar datos financieros personales. El desarrollo inicial comenzó en 2016, con muchas de sus funciones originales inspiradas en Dyreza, que era otro troyano bancario.

Avanzó rápido unos años hasta 2018, y debido a su construcción modular y las capacidades para moverse lateralmente en una red, TrickBot se converti en la principal amenaza para las empresas. En aquel entonces, los autores de TrickBot eran ágiles y creativos, y desarrollaban e implementaban nuevas funciones con regularidad. Los módulos separados facilitaron el desarrollo de nuevas capacidades y el uso del malware para varios propósitos. Por ejemplo, en 2019, los investigadores encontraron una nueva característica en TrickBot que le permitía manipular las sesiones web de los usuarios que estaban en ciertos operadores móviles. En algún momento también se agregaron otras características, como deshabilitar el monitoreo en tiempo real de Windows Defender.

En 2021, se realizaron varios arrestos que dieron una idea de la escala y la complejidad del grupo TrickBot. Estas detenciones también parecen haber sido algunos de los puntos de partida que marcaron el final del grupo. Algunos podrían haberse sentido inseguros, incluso con todos los guardias de seguridad que desplegaron para mantener en secreto su verdadera identidad, al ver que algunos de sus compañeros de trabajo fueron acusados.

Cooperación

La escena del ransomware se puede comparar con cualquier negocio vertical legítimo en más de una forma. Verá cooperación de corta duración, fusiones y personal moviéndose de una empresa a otra. Algunos de los traficantes de malware y bandas de ransomware han establecido una relación que puede describirse como una alianza entre ellos. Dada su naturaleza y la cantidad de dinero que circula en estos grupos de ransomware, a veces se los denomina sindicatos del ciber-delito.

A lo largo de los años, hemos visto varias campañas en las que Emotet actuó como cuentagotas del troyano TrickBot. TrickBot luego robó la información financiera que buscaba y descargó el ransomware Ryuk. Esta cadena de suministro de Emotet-TrickBot-Ryuk fue temida en todo el mundo y resultó ser extremadamente resistente. Después del cambio de marca de Ryuk a Conti, esto no cambió. Pero Conti ha crecido a lo largo de los años y se ha expandido hasta el punto de que ahora puede considerarse uno de los principales actores de esta "industria" por derecho propio.

Su relación con TrickBot fue una de las principales razones del rápido ascenso de Conti. En algún momento, Conti se convirtió en el único usuario final del producto botnet de TrickBot. A fines de 2021, Conti había adquirido esencialmente TrickBot, con múltiples desarrolladores y gerentes de élite que se mudaron para unirse a Conti.

El fin(?)

Hay algunos factores contribuyentes que indican que esto realmente puede ser el final de TrickBot.

    La mudanza de desarrolladores y gerentes a Conti, y posiblemente a otras bandas.
    La alta tasa de detección de TrickBot. Un malware desarrollado de forma menos activa se convierte en un objetivo fácil para las rutinas de detección y reparación.
    El surgimiento de BazarLoader, que solía ser parte del conjunto de herramientas de Trickbot, pero ahora se ha convertido en una herramienta totalmente autónoma. Parece el candidato probable para que Conti se desarrolle aún más.
    El cierre voluntario de los servidores y el hecho de que no habían instalado ningún servidor nuevo durante meses.
    La falta de nuevas campañas de spam por correo electrónico de TrickBot en el año 2022.

Investigadores de renombre esperan que este sea el final de TrickBot tal como lo conocemos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Eso no significa que no pueda resurgir como un ave fénix de las llamas con una nueva etiqueta o bajo una administración diferente. La mayoría de las personas que han liderado y desarrollado TrickBot a lo largo de su larga trayectoria no desaparecerán simplemente de la escena, sino que encontrarán nuevos empleadores, como Conti.

Queda por ver si nos daremos cuenta de que TrickBot se ha ido. Hay muchos métodos nuevos de infiltración disponibles para las pandillas de ransomware y sus afiliados. Y probablemente incluso pasarán años antes de que dejemos de ver detecciones de TrickBot, inactivas o no, en algún sistema.

Fuente:
Malwarebytes Labs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta