Трикбот

Trickbot — троян для Microsoft Windows и других операционных систем. ^[1] Первоначально его основной функцией была кража банковских реквизитов и других учетных данных, но его операторы расширили его возможности, создав полную модульную экосистему вредоносного ПО. ^[2]

Возможности

Впервые о Trickbot стало известно в октябре 2016 года. Он распространяется такими методами, как исполняемые программы, пакетные файлы, фишинг по электронной почте, Документы Google и ложные заявления о сексуальных домогательствах. ^[3]

Веб-сайт Bleeping Computer отслеживает эволюцию TrickBot с момента его появления как банковского трояна. В статьях рассказывается о его расширении для атаки на PayPal и управление взаимоотношениями с бизнес-клиентами (CRM; июнь 2017 г.), добавлении самораспространяющегося компонента-червя (июль 2017 г.), coinbase.com, поддержке DKIM для обхода фильтров электронной почты , кражи истории проблем Windows, кражи файлы cookie (июль 2019 г.), нацелены на программное обеспечение безопасности, такое как Microsoft Defender, Verizon Wireless, T-Mobile и Sprint для предотвращения его обнаружения и удаления (июль 2019 г.), крадут PIN-коды путем внедрения кода при доступе к веб-сайту (август 2019 г.), крадут Ключи OpenSSH и OpenVPN (ноябрь 2019 г.), распространение вредоносного ПО через сеть (январь 2020 г.), обход UAC Windows 10 и кража учетных данных Active Directory (январь 2020 г.), использование поддельных электронных писем и новостей о COVID-19 (с марта 2020 г.), обход Android мобильных устройств двухфакторная аутентификация , проверяет, запускается ли он на виртуальной машине (экспертами по борьбе с вредоносным ПО; июль 2020 г.), заражая системы Linux (июль 2020 г.). ^[4]

TrickBot может предоставлять другим вредоносным программам доступ как услугу к зараженным системам, включая Ryuk (январь 2019 г.) и Conti программы-вымогатели ; устанавливает Известно , что спам-троянец Emotet TrickBot (июль 2020 г.). ^[4]

В 2021 году исследователи IBM сообщили, что трикбот был дополнен такими функциями, как креативный алгоритм именования мьютексов и обновленный механизм сохранения. ^[5]

Инфекции

27 сентября 2020 года больницы и системы здравоохранения США были закрыты в результате кибератаки с использованием программы-вымогателя Ryuk. Предполагается, что троян Emotet начал заражение ботнета, рассылая вредоносные вложения к электронной почте в течение 2020 года. Через некоторое время он установил TrickBot, который затем предоставил доступ к Ryuk. ^[6]

Несмотря на усилия по уничтожению TrickBot, ФБР и два других американских федеральных агентства предупредили 29 октября 2020 года, что у них есть «достоверная информация о возросшей и неизбежной угрозе киберпреступности [программ-вымогателей] для американских больниц и поставщиков медицинских услуг», поскольку число случаев заболевания COVID-19 резко возросло. . После нападений в предыдущем месяце на этой неделе были атакованы пять больниц, и еще сотни стали потенциальными целями. Рюк, посеянный через TrickBot, был методом атаки. ^[7]

Аресты

В августе 2020 года Министерство юстиции выдало ордера на арест злоумышленников, управляющих ботнетом Trickbot. ^[8] В январе 2021 года в Украине арестовали администратора вирусной составляющей Trickbot Emotet. ^[8] В феврале 2021 года был арестован Макс (также известный как Алла Витте; Алла Климова;), разработчик платформы Trickbot и компонентов шифровальщика. ^[8]^[9]^[10]

Возмездие

С конца сентября 2020 года ботнет TrickBot подвергся атаке со стороны предположительно подразделения Киберкомандования Министерства обороны США и нескольких охранных компаний. В системы, зараженные TrickBot, был доставлен файл конфигурации, который изменил адрес сервера управления на 127.0.0.1 ( localhost — адрес, по которому нет доступа в Интернет). На самом деле эти усилия начались несколькими месяцами ранее с нескольких подрывных действий. Проект нацелен на долгосрочный эффект, собирая и тщательно анализируя данные ботнета. Нераскрытое количество серверов C2 также было отключено в соответствии с юридическими процедурами, чтобы прекратить их связь с ботами на уровне хостинг-провайдера. Иск начался после того, как Окружной суд США Восточного округа штата Вирджиния удовлетворил просьбу Microsoft о вынесении судебного постановления о прекращении деятельности TrickBot. Требуемые технические усилия огромны; В рамках атаки автоматические системы ESET проверили более 125 000 образцов Trickbot с более чем 40 000 файлами конфигурации как минимум 28 отдельных плагинов, используемых вредоносным ПО для кражи паролей, изменения трафика или самораспространения.

Атаки могут серьезно нарушить работу TrickBot, но у него есть резервные механизмы для восстановления, хотя и с трудом, компьютеров, удаленных из ботнета. Сообщалось, что произошел кратковременный сбой, но ботнет быстро восстановился, поскольку его инфраструктура осталась нетронутой. ^[11]^[2]^[12]

Правительство США считает программы-вымогатели серьезной угрозой выборам в США в 2020 году , поскольку атаки могут украсть или зашифровать информацию об избирателях и результаты выборов, а также повлиять на избирательные системы. ^[11]

20 октября 2020 года в сообщении безопасности на веб-сайте Bleeping Computer сообщалось, что операция Trickbot «находится на грани полного закрытия из-за усилий альянса кибербезопасности и хостинг-провайдеров, нацеленных на серверы управления и контроля ботнета», после относительно неэффективной операции. подрывные действия в начале месяца. Коалиция, возглавляемая подразделением Microsoft по борьбе с цифровыми преступлениями (DCU), оказала серьезное влияние, хотя TrickBot продолжал заражать новые компьютеры. 18 октября Microsoft заявила, что 94% критической операционной инфраструктуры Trickbot — 120 из 128 серверов — были уничтожены. Некоторые серверы Trickbot оставались активными в Бразилии, Колумбии, Индонезии и Кыргызстане. Требуются постоянные действия, как технические, так и юридические, чтобы предотвратить повторное появление Trickbot из-за его уникальной архитектуры. Хотя не было никаких доказательств того, что TrickBot нацелился на выборы в США 3 ноября 2020 года, интенсивные усилия продолжались до этой даты. ^[13]

Ссылки

^ «Рекомендация: Трикбот» . www.ncsc.gov.uk. Проверено 13 октября 2020 г.
^ Перейти обратно: ^а ^б «Трикбот разрушен» . Безопасность Майкрософт . 2020-10-12 . Проверено 13 октября 2020 г.
^ Гатлан, Сергей (11 ноября 2019 г.). «Вредоносная программа TrickBot использует фальшивые жалобы на сексуальные домогательства в качестве приманки» . Мигающий компьютер .
^ Перейти обратно: ^а ^б «Статьи с меткой TrickBot» . Пипящий компьютер . Проверено 29 октября 2020 г. Список статей Bleeping Computer о TrickBot с описательными заголовками, начиная с 2016 г.
^ «Невозможно ли навсегда уничтожить TrickBot?» . Отчет о взломе . 02 февраля 2021 г. Проверено 14 апреля 2021 г.
^ Гатлан, Сергей (28 сентября 2020 г.). «Больницы UHS пострадали от общенациональной атаки программы-вымогателя Ryuk» . Мигающий компьютер .
^ Персонал и агентства (29 октября 2020 г.). «Больничные системы США сталкиваются с «непосредственной» угрозой кибератак, предупреждает ФБР» . Хранитель .
^ Перейти обратно: ^а ^б ^с «Арест банды трикботов – история Аллы Витте» . Держите охрану . Архивировано из оригинала 8 июня 2021 г. Проверено 2 июля 2022 г.
^ Силс, Тара (8 июня 2021 г.). «Кодеру TrickBot грозят десятилетия тюрьмы» . угроза пост . Архивировано из оригинала 8 июня 2021 года . Проверено 2 июля 2022 г.
^ «Гражданину Латвии предъявлено обвинение в предполагаемой роли в транснациональной киберпреступной организации» . Justice.gov . 4 июня 2021 г. Архивировано из оригинала 8 июня 2021 г.
^ Перейти обратно: ^а ^б Илашку, Ионут (12 октября 2020 г.). «Ботнет TrickBot нацелен на уничтожение, эффект незначителен» . Мигающий компьютер .
^ Грин, Джей; Накашима, Эллен. «Microsoft стремится разрушить российскую преступную бот-сеть, которая, как она опасается, может попытаться посеять путаницу на президентских выборах» . Вашингтон Пост . ISSN 0190-8286 . Проверено 13 октября 2020 г.
^ Илашку, Ионут (20 октября 2020 г.). «Вредоносная программа TrickBot находится в осаде со всех сторон, и она работает» . Мигающий компьютер .

[1] «Рекомендация: Трикбот» . www.ncsc.gov.uk. Проверено 13 октября 2020 г.

[microsoft20201013-2] Перейти обратно: ^а ^б «Трикбот разрушен» . Безопасность Майкрософт . 2020-10-12 . Проверено 13 октября 2020 г.

[3] Гатлан, Сергей (11 ноября 2019 г.). «Вредоносная программа TrickBot использует фальшивые жалобы на сексуальные домогательства в качестве приманки» . Мигающий компьютер .

[bplist-4] Перейти обратно: ^а ^б «Статьи с меткой TrickBot» . Пипящий компьютер . Проверено 29 октября 2020 г. Список статей Bleeping Computer о TrickBot с описательными заголовками, начиная с 2016 г.

[5] «Невозможно ли навсегда уничтожить TrickBot?» . Отчет о взломе . 02 февраля 2021 г. Проверено 14 апреля 2021 г.

[6] Гатлан, Сергей (28 сентября 2020 г.). «Больницы UHS пострадали от общенациональной атаки программы-вымогателя Ryuk» . Мигающий компьютер .

[7] Персонал и агентства (29 октября 2020 г.). «Больничные системы США сталкиваются с «непосредственной» угрозой кибератак, предупреждает ФБР» . Хранитель .

[holdsecurity-trickbot-arrest-8] Перейти обратно: ^а ^б ^с «Арест банды трикботов – история Аллы Витте» . Держите охрану . Архивировано из оригинала 8 июня 2021 г. Проверено 2 июля 2022 г.

[threatpost-166732-9] Силс, Тара (8 июня 2021 г.). «Кодеру TrickBot грозят десятилетия тюрьмы» . угроза пост . Архивировано из оригинала 8 июня 2021 года . Проверено 2 июля 2022 г.

[justice-charged-transnational-cybercrime-10] «Гражданину Латвии предъявлено обвинение в предполагаемой роли в транснациональной киберпреступной организации» . Justice.gov . 4 июня 2021 г. Архивировано из оригинала 8 июня 2021 г.

[attack1-11] Перейти обратно: ^а ^б Илашку, Ионут (12 октября 2020 г.). «Ботнет TrickBot нацелен на уничтожение, эффект незначителен» . Мигающий компьютер .

[12] Грин, Джей; Накашима, Эллен. «Microsoft стремится разрушить российскую преступную бот-сеть, которая, как она опасается, может попытаться посеять путаницу на президентских выборах» . Вашингтон Пост . ISSN 0190-8286 . Проверено 13 октября 2020 г.

[13] Илашку, Ионут (20 октября 2020 г.). «Вредоносная программа TrickBot находится в осаде со всех сторон, и она работает» . Мигающий компьютер .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]