Το Trickbot κλέβει διαπιστευτήρια χρηστών ενώ, πρόσφατα, εξαπέλυσε επιθέσεις ransomware.
Παγκόσμια εκστρατεία κατά του Trickbot, του botnet που, από το 2016, έχει προσβάλλει πάνω από ένα εκατομμύριο υπολογιστές έχουν εξαπολύσει κολοσσοί της πληροφορικής.
Οι ερευνητές της ESET συμμετείχαν σε παγκόσμια επιχείρηση αναχαίτισης του Trickbot μαζί με τη Microsoft, το Black Lotus Labs Threat Research της Lumen, την NTT και άλλους. Η επιχείρηση παρενέβει στο Trickbot καταστρέφοντας τους διακομιστές εντολών και ελέγχου.
Η ESET συνέβαλε στη συγκεκριμένη επιχείρηση παρέχοντας τεχνική ανάλυση, στατιστικά δεδομένα και γνωστά ονόματα και διευθύνσεις IP διακομιστών εντολών και ελέγχου., όπως ανακοίνωσε σχετικά.
Το Trickbot είναι γνωστό ότι κλέβει διαπιστευτήρια χρηστών από παραβιασμένους υπολογιστές ενώ, πιο πρόσφατα, έχει παρατηρηθεί ότι λειτουργεί ως μηχανισμός υλοποίησης σοβαρότερων επιθέσεων, όπως είναι οι επιθέσεις ransomware.
Η ESET Research παρακολουθεί τις δραστηριότητές του από τότε που ανιχνεύθηκε για πρώτη φορά, στα τέλη του 2016. Μόνο το 2020, η πλατφόρμα παρακολούθησης botnet της ESET ανέλυσε περισσότερα από 125.000 κακόβουλα δείγματα και κατέβασε και αποκρυπτογράφησε περισσότερα από 40.000 αρχεία διαμόρφωσης που χρησιμοποιήθηκαν από τα διάφορα Trickbot modules, αποκτώντας μια ολοκληρωμένη εικόνα για τους διαφορετικούς διακομιστές C&C που χρησιμοποιούνται από αυτό το botnet.
«Όσα χρόνια το παρακολουθούμε, οι παραβιάσεις από το Trickbot που έχουν καταγραφεί είναι συστηματικές, καθιστώντας το ένα από τα μεγαλύτερα και μακροβιότερα botnets εκεί έξω. Το Trickbot είναι μία από τις πιο διαδεδομένες οικογένειες malware και αποτελεί απειλή για τους χρήστες του διαδικτύου παγκοσμίως» εξηγεί ο Jean-Ian Boutin, Head of Threat Research της ESET.
Καθ’ όλη τη διάρκεια της ζωής του, το συγκεκριμένο κακόβουλο λογισμικό έχει εξαπλωθεί με διάφορους τρόπους. Ένας από αυτούς είναι ότι το Trickbot προσβάλει συστήματα που έχουν ήδη παραβιαστεί από το Emotet, ένα άλλο γνωστό botnet. Στο παρελθόν, το κακόβουλο λογισμικό του Trickbot αξιοποιήθηκε από τους χειριστές του κυρίως ως τραπεζικό trojan, κλέβοντας διαπιστευτήρια χρηστών από online τραπεζικούς λογαριασμούς και προσπαθώντας να πραγματοποιήσει παράνομες μεταφορές χρημάτων.
Ένα από τα παλαιότερα plugins που αναπτύχθηκε για την πλατφόρμα, επιτρέπει στο Trickbot να χρησιμοποιεί web injects, μια τεχνική που επιτρέπει στο κακόβουλο λογισμικό να αλλάζει δυναμικά αυτό που βλέπει ο χρήστης ενός μολυσμένου συστήματος όταν επισκέπτεται συγκεκριμένα website.
«Μέσω της παρακολούθησης, συλλέξαμε δεκάδες χιλιάδες διαφορετικά αρχεία διαμόρφωσης, γεγονός που μας επιτρέπει να γνωρίζουμε σε ποια website στόχευαν οι χειριστές του Trickbot. Οι στοχευμένες διευθύνσεις URL ανήκουν κυρίως σε χρηματοπιστωτικά ιδρύματα» προσθέτει ο Boutin.
«Η αντιμετώπιση αυτής της απειλής είναι πολύ δύσκολη, καθώς διαθέτει διάφορους εναλλακτικούς μηχανισμούς και η διασύνδεσή της με άλλους εγκληματίες του κυβερνοχώρου στο παρασκήνιο καθιστά τη συνολική λειτουργία της εξαιρετικά σύνθετη» καταλήγει ο Boutin.
Για περισσότερες τεχνικές λεπτομέρειες σχετικά με το Trickbot, επισκεφθείτε το σχετικό “blogpost ” στο WeLiveSecurity με τίτλο “ESET takes part in global operation to disrupt Trickbot”. Παρακολουθείστε τις τελευταίες εξελίξεις στον τομέα της κυβερνοασφάλειας ακολουθώντας το λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.
Τι είναι τα botnet;
Η λέξη botnet προέρχεται από τις λέξεις robot και network. Το botnet είναι ένα δίκτυο υπολογιστών, το οποίο έχουν μολύνει οι hackers με κακόβουλο λογισμικό και το χρησιμοποιούν κατά βούληση. Στόχος τους είναι η εκτέλεση εργασιών στο διαδίκτυο χωρίς την άδεια και τη γνώση των θυμάτων. Όταν ένα bot επιτίθεται σε έναν υπολογιστή, ο χειριστής του μπορεί να πάρει τον έλεγχο της συσκευής, καθώς και των υπόλοιπων συσκευών που βρίσκονται στο botnet.
Με τη μέθοδο των botnet, οι hackers επιλέγουν πολύ συχνά να πραγματοποιούν κλοπές κρυπτονομισμάτων. Επίσης, χρησιμοποιούνται για τη διασπορά spam emails, για την εξάπλωση ιών, για την κλοπή προσωπικών και εταιρικών δεδομένων, για επιθέσεις σε υπολογιστές και servers κτλ.
