TrickBot è stato uno degli incubi più neri per i ricercatori di cybersecurity e i team IT di tutto il mondo. Le sue operazioni sono in corso ormai da quattro anni ed hanno avuto un volume e un'intensità tali da fargli guadagnare la "top 10" dei malware più temibili degli ultimi anni.
Qualche giorno fa TrickBot ha annunciato lo stop alle proprie operazioni, visto che una parte consistente del vertice organizzativo della banda di cyber criminali è entrato a far parte delle operazioni del ransomware Conti.
Trickbot in breve
Trickbot è un malware pensato per Windows: è un classico esemplare di malware modulare, ovvero che si compone di più moduli ognuno dei quali è deputato ad una diversa funzione dannosa. Le operazioni comunemente svolte da Trickbot sono furto di informazioni sensibili, furto di credenziali, primo accesso alla rete bersaglio, distribuzione di malware nelle reti violate, infiltrazione dei domini Windows.
Ha sempre lavorato in coppia coi ransomware: dal 2016, anno del suo debutto, è stato responsabile dell'infezione di milioni di dispositivi in tutto il mondo, molti dei quali, dopo un iniziale accesso di TrickBot, sono stati poi colpiti da infezioni ransomware di varie varietà. Tra le prime collaborazioni troviamo quella con il ransomware Ryuk, al quale il gruppo dietro TrickBot concedeva l'accesso alle reti violate in cambio della spartizione dei proventi derivati dal riscatto delle vittime. Ma il divorzio è arrivato presto, quando si è preferito concedere gli accessi ai cyber criminali del ransomware Conti, più specializzati in attacchi alle reti aziendali e quindi forieri di maggiori profitti. La collaborazione con Conti prosegue ormai da anni e ha portato a guadagni ben oltre i 200 milioni di dollari.
 |
| Fonte: bleepingcomputer.com |
Che TrickBot fosse una minaccia mondiale lo ha ribadito anche Microsoft: in occasione delle ultime elezioni USA, una task force composta dal team Defender di Microsoft, il Financial Services Information Sharing and Analysis Center, Black Lotus Labs, Symantec e da varie forze dell'ordine ha sferrato una pesante offensiva sull'infrastruttura del malware.
"Abbiamo interrotto Trickbot con un'ingiunzione del tribunale e un'operazione eseguita in collaborazione con provider di tutto il mondo", ha dichiarato alla stampa Tom Burt, vicepresidente di Microsoft. "Come hanno avvertito il governo degli Stati Uniti e esperti indipendenti, il ransomware è una delle maggiori minacce alle prossime elezioni. Gli avversari possono utilizzare il ransomware per infettare un sistema informatico utilizzato per mantenere le liste elettorali o riferire sui risultati della notte delle elezioni, sequestrando quei sistemi a un’ora prestabilita ottimizzata per seminare caos e sfiducia" spiegavano da Microsoft in quella occasione.
Per saperne di più > Microsoft assedia e sconfigge TrickBot: 'è un rischio per le elezioni USA
Per saperne di più > Microsoft vs TrickBot: fallito il tentativo di takedown. Il successo è sul fronte legale
TrickBot però sopravvive, l'infrastruttura, mutilata ma non abbattuta, viene ripristinata in poche settimane: TrickBot riprende le operazioni. E arriviamo ad oggi.
Conti rileva le operazioni di TrickBot
Quanto detto sopra fa emergere un rapporto paritario, di partnership, tra il ransomware Conti e TrickBot. Inizialmente così era e così è stato ancora per tutto il 2021: nel 2021 infatti Conti è stato l'unico beneficiario degli accessi sulle reti infettate da TrickBot. Le cose sono poi lentamente cambiate, per due ordini di motivi: da una parte TrickBot è diventato facilmente individuabile dalla gran parte delle soluzioni di sicurezza più comunemente utilizzate nelle aziende, dall'altra il rapporto tra gli sviluppatori dei due malware si è fatto sempre più stretto.
Il cambiamento si è concretizzato con BazarBackdoor, il nuovo malware creato dagli sviluppatori di TrickBot e che è specializzato nell'accedere a reti aziendali da remoto. In dettaglio, come sottolineato su più forum dell'underground hacking, gli sviluppatori hanno fatto sapere che Bazar Backdoor è stato costruito e pensato tenendo di conto un solo obiettivo: accedere quanto più silenziosamente possibile nelle reti aziendali.
Sul punto i ricercatori di ADvIntel, che sono riusciti a mettere le mani su conversazioni interne al gruppo di cyber attaccanti, spiegano che BazarBackdoor è passato dal dover essere un ennesimo modulo di trickBot ad ed essere uno strumento autonomo controllato dal gruppo Conti. Insomma, TrickBot è morto ma si è già "reincarnato" in qualcosa di peggiore perché più specifico: non tante funzioni, ma una sola e affinata al massimo possibile.
TrickBot+Conti: un nuovo modello di business per il cybercrime?
Questa notizia non è soltanto l'ennesimo bollettino di sicurezza che allerta sull'ennesima minaccia rispetto alla quale è bene corazzare reti e dispositivi. E' qualcosa di più e conferma che il cyber crimine è diventato una attività così redditizia da indurre coloro che operano in questo settore a darsi forme organizzative sempre più strutturate, sempre più affini a quelle che comunemente sono in uso nelle aziende.
Se del RaaS (Ransomware as a Service) ne abbiamo parlato in precedenza, la novità è che anche il modello RaaS si è evoluto: nelle prime forme, questa struttura organizzativa si basava sul reclutamento di affiliati casuali. Da una parte questo modello ha permesso di poter lanciare più campagne, di avere una diffusione maggiore e quindi di poter attingere guadagni da più attacchi portati contemporaneamente dalla rete di affiliati. Il problema è che affiliati sconosciuti non sono affidabili e spesso hanno portato ad interventi delle forze dell'ordine.
Nel caso di TrickBot e Conti, la struttura si è evoluta verso un modello basato sulla fiducia (pochi e leali collaboratori) e sulle competenze, sul team: gli attaccanti del gruppo Conti non hanno cercato di sostituire la collaborazione con il team di TrickBot, magari scegliendo uno strumento alternativo a questo, ormai conosciuto e segnalato dai vendor di cybersecurity. Al contrario hanno semplicemente richiesto a quel gruppo di concentrarsi su ciò che sanno fare meglio. Da qui nasce BazarBackdoor, pensato come 1° fase di attacco di una campagna ransomware, sviluppato da esperti di backdoor che hanno accumulato negli anni così tanta esperienza da aver prodotto un sostituto praticamente invisibile alle soluzioni di sicurezza attuali.
Nessun commento:
Posta un commento