La plataforma modular de software contra el crimen de Windows conocida como TrickBot cerró formalmente su infraestructura el jueves después de que surgieron informes de su inminente retiro en medio de una pausa en su actividad durante casi dos meses, lo que marcó el final de una de las campañas de malware más persistentes de los últimos años.
«TrickBot se ha ido… Es oficial ahora a partir del jueves 24 de febrero de 2022. Nos vemos pronto… o no», el director ejecutivo de AdvIntel, Vitali Kremez. tuiteó.
Atribuido a una empresa criminal con sede en Rusia llamada Araña hechiceraTrickBot comenzó como un troyano financiero a fines de 2016 y es un derivado de otro malware bancario llamado Dyre que fue desmantelado en noviembre de 2015. A lo largo de los años, se transformó en una verdadera navaja suiza de capacidades maliciosas, lo que permitió a los actores de amenazas robar información a través de inyecciones web y lanzar cargas útiles adicionales.
Las actividades de TrickBot sufrieron un impacto notable en octubre de 2020 cuando el Comando Cibernético de EE. UU. y un consorcio de empresas de seguridad privadas lideradas por Microsoft intentaron interrumpir la mayor parte de su infraestructura, lo que obligó a los autores del malware a ampliar y evolucionar sus tácticas.
Se dice que la entidad criminal ha invertido más de $ 20 millones en su infraestructura y crecimiento, dijo la firma de seguridad Hold Security en un comunicado. Informe CABLEADO a principios de este mes, llamando a la «estructura empresarial» de TrickBot para ejecutar sus operaciones diarias y «contratar» nuevos ingenieros en el grupo.
El desarrollo se presenta como informes gemelos de firmas de ciberseguridad. AdvIntel e Intel 471 insinuaron la posibilidad de que la saga de cinco años de TrickBot esté llegando a su fin a raíz de una mayor visibilidad de sus operaciones de malware, lo que llevó a los operadores a cambiar a malware más nuevo y mejorado como BazarBackdoor (también conocido como BazarLoader).
«TrickBot, después de todo, es un malware relativamente antiguo que no se ha actualizado de manera importante», dijeron los investigadores de Intel 471. «Las tasas de detección son altas y el tráfico de red de la comunicación de bots se reconoce fácilmente».
De hecho, el proyecto de investigación de seguimiento de malware Feodo Tracker de Abuse.ch muestra que, si bien no se han configurado nuevos servidores de comando y control (C2) para TrickBot ataques desde el 16 de diciembre de 2021, BazarLoader y Emotete están en pleno apogeo, con nuevos servidores C2 registrados el 19 y 24 de febrero, respectivamente.
BazarBackdoor, que apareció por primera vez en 2021, se originó como parte del arsenal de herramientas modulares de Trickbot, pero desde entonces ha surgido como un malware completamente autónomo utilizado principalmente por la banda de ciberdelincuencia Conti (anteriormente Ryuk) para implementar ransomware en redes empresariales.
La desaparición de TrickBot también se produjo cuando los operadores del ransomware Conti reclutaron a los mejores talentos del primero para centrarse en un malware de reemplazo más sigiloso como BazarBackdoor. «TrickBot se ha vinculado con Conti durante un tiempo, por lo que es muy posible una mayor sinergia», dijo Intel 471 a The Hacker News.
A Conti también se le atribuye haber resucitado e integrado la botnet Emotet en su marco de ataque de múltiples frentes a partir de noviembre de 2021, con TrickBot, irónicamente, utilizado como vehículo de entrega para distribuir el malware después de una brecha de 10 meses.
«Sin embargo, las personas que han liderado TrickBot a lo largo de su larga trayectoria no desaparecerán simplemente», señaló AdvIntel la semana pasada. «Después de ser ‘adquiridos’ por Conti, ahora son ricos en prospectos con un terreno seguro debajo de ellos, y Conti siempre encontrará la manera de hacer uso del talento disponible».