Nền tảng phần mềm tội phạm Windows mô-đun được gọi là TrickBot đã chính thức đóng cửa cơ sở hạ tầng của mình vào thứ Năm sau khi có báo cáo về việc nó sắp nghỉ hưu trong bối cảnh hoạt động của nó tạm lắng trong gần hai tháng, đánh dấu sự kết thúc của một trong những chiến dịch phần mềm độc hại dai dẳng nhất trong những năm gần đây.
“TrickBot đã biến mất … Bây giờ nó chính thức kể từ thứ Năm, ngày 24 tháng 2 năm 2022. Hẹn gặp lại bạn … hoặc không”, Giám đốc điều hành của AdvIntel, Vitali Kremez đã tweet. “TrickBot đã biến mất vì nó đã trở nên không hiệu quả đối với các cuộc xâm nhập có chủ đích.”
Được phân bổ cho một doanh nghiệp tội phạm có trụ sở tại Nga có tên là Wizard Spider, TrickBot bắt đầu như một trojan tài chính vào cuối năm 2016 và là một dẫn xuất của một phần mềm độc hại ngân hàng khác có tên Dyre đã bị phá hủy vào tháng 11 năm 2015. Qua nhiều năm, nó đã biến thành một Quân đội Thụy Sĩ thực sự. dao có khả năng độc hại, cho phép các tác nhân đe dọa lấy cắp thông tin qua các trang web và giảm tải bổ sung.
Các hoạt động của TrickBot đã gây được tiếng vang lớn vào tháng 10 năm 2020 khi Bộ chỉ huy mạng Hoa Kỳ và một tập đoàn các công ty bảo mật tư nhân do Microsoft đứng đầu cố gắng phá vỡ hầu hết cơ sở hạ tầng của nó, buộc các tác giả của phần mềm độc hại phải mở rộng quy mô và phát triển các chiến thuật của nó.
Tổ chức tội phạm được cho là đã đầu tư hơn 20 triệu đô la vào cơ sở hạ tầng và sự phát triển của nó, công ty bảo mật Hold Security được trích dẫn cho biết trong một báo cáo của WIRED hồi đầu tháng này, gọi “cấu trúc giống như doanh nghiệp” của TrickBot để vận hành các hoạt động hàng ngày của nó. và “thuê” các kỹ sư mới vào nhóm.
Sự phát triển này được đưa ra khi các báo cáo song sinh từ các công ty an ninh mạng AdvIntel và Intel 471 ám chỉ khả năng rằng câu chuyện 5 năm của TrickBot có thể sắp kết thúc sau khi khả năng hiển thị các hoạt động phần mềm độc hại của họ tăng lên, khiến các nhà khai thác chuyển sang mới hơn, được cải thiện phần mềm độc hại như BazarBackdoor (hay còn gọi là BazarLoader).
Các nhà nghiên cứu của Intel 471 cho biết: “Xét cho cùng, TrickBot là phần mềm độc hại tương đối cũ và chưa được cập nhật một cách chính thức. “Tỷ lệ phát hiện cao và lưu lượng mạng từ giao tiếp bot dễ dàng được nhận ra.”
Thật vậy, dự án nghiên cứu theo dõi phần mềm độc hại Feodo Tracker của Abuse.ch cho thấy rằng mặc dù không có máy chủ lệnh và kiểm soát (C2) mới nào được thiết lập cho các cuộc tấn công TrickBot kể từ ngày 16 tháng 12 năm 2021, BazarLoader và Emotet đang hoạt động mạnh mẽ, với các máy chủ C2 mới đã đăng ký gần đây nhất vào ngày 19 và 24 tháng 2, tương ứng.
BazarBackdoor, xuất hiện lần đầu tiên vào năm 2021, có nguồn gốc là một phần của kho vũ khí bộ công cụ mô-đun của Trickbot nhưng kể từ đó đã nổi lên như một phần mềm độc hại hoàn toàn tự trị chủ yếu được sử dụng bởi băng nhóm tội phạm mạng Conti (trước đây là Ryuk) để triển khai ransomware trên các mạng doanh nghiệp.
Sự sụp đổ của TrickBot cũng đã đến khi các nhà điều hành của Conti ransomware tuyển dụng những tài năng hàng đầu từ người đi trước để tập trung vào phần mềm độc hại thay thế lén lút như BazarBackdoor. “TrickBot đã được liên kết với Conti trong một thời gian, vì vậy khả năng tổng hợp cao hơn ở đó”, Intel 471 nói với The Hacker News.
Conti cũng đã được ghi nhận là đã phục hồi và tích hợp mạng botnet Emotet vào khuôn khổ tấn công đa hướng của nó bắt đầu từ tháng 11 năm 2021, với TrickBot, trớ trêu thay, được sử dụng như một phương tiện vận chuyển để phát tán phần mềm độc hại sau 10 tháng.
“Tuy nhiên, những người đã lãnh đạo TrickBot trong suốt thời gian dài của nó sẽ không chỉ đơn giản là biến mất”, AdvIntel lưu ý vào tuần trước. “Sau khi được Conti ‘mua lại', họ giờ rất giàu triển vọng với nền tảng an toàn bên dưới, và Conti sẽ luôn tìm cách tận dụng tài năng sẵn có.”
.
