Операція TrickBot: спільні дії паралізують глобальну мережу eCrime. Дослідники ESET підтримали успішний удар по великому ботнету TrickBot.
Галузь ІТ-безпеки завдає удару у відповідь: дослідники ESET взяли участь у глобальній операції проти ботнету TrickBot, який заразив понад мільйон комп’ютерів з 2016 року. Разом із Microsoft, Black Lotus Labs Threat Research від Lumen, NTT та іншими компаніями, наступ поставив глобальну мережу eCrime TrickBot під масовий тиск. Завдяки спільним діям вдалося завдати серйозного удару по хребту кіберзлочинної мережі та паралізувати її командно-контрольні сервери. ESET сприяла успішному процесу завдяки докладному технічному аналізу, статистичним даним, доменним іменам та IP-адресам командних і контрольних серверів. Найбільший у світі ботнет відомий крадіжкою даних доступу та розповсюдженням банківських троянів. Останні висновки також показують, що зловмисники ще більше розширили свій портфель eCrime і використовують TrickBot як механізм передачі для більш комплексних атак і масових проникнень шкідливого коду. Серед них також були атаки програм-вимагачів на компанії та організації.
Мережа eCrime активна з 2016 року
Дослідники ESET відстежують діяльність глобальної мережі eCrime TrickBot з моменту її першого виявлення наприкінці 2016 року. Лише в цій мережі ESET проаналізувала понад 125.000 40.000 нових комп’ютерних шкідливих програм TrickBot за допомогою своєї платформи відстеження ботнетів. Крім того, понад XNUMX XNUMX конфігураційних файлів, які використовувалися в різних модулях TrickBot, можна було завантажити та розшифрувати.
«Ми стежили за ботнетом TrickBot протягом багатьох років і неодноразово виявляли його подальші розробки. Це робить її однією з найбільших і найдовше існуючих мереж зламаних комп’ютерів», – пояснює Жан-Іан Бутен, керівник відділу досліджень ESET. «Крім того, TrickBot є одним із найпоширеніших сімейств банківського шкідливого ПЗ і, таким чином, становить серйозну загрозу для всіх користувачів Інтернету».
Trickbot і Emotet як дует
Протягом багатьох років шкідливий код дуже успішно поширювався різними способами. Експерти з безпеки ESET нещодавно помітили нову подію: TrickBot бажано встановлювати на системах, які вже були заражені відомим шкідливим кодом Emotet і вже були частиною його ботнетів. Раніше оператори використовували шкідливе програмне забезпечення TrickBot переважно як банківський троян. Метою було викрасти дані доступу з онлайн-банківських рахунків і здійснити шахрайські перекази. Останнім часом з'явився новий тренд. Кіберзлочинці розширили своє портфоліо та використали існуючу інфраструктуру eCrime для цілеспрямованих атак програм-вимагачів на компанії та організації.
Методика зараження TrickBot
Один із найстаріших плагінів дозволяє TrickBot використовувати так звані веб-ін’єкції. Технологія дозволяє шкідливому програмному забезпеченню динамічно змінювати зовнішній вигляд веб-сайтів, коли користувач зараженого комп’ютера їх відвідує. «Аналізуючи багато кампаній TrickBot, ми виявили десятки тисяч різних конфігураційних файлів. Тому ми знаємо, на які веб-сайти орієнтуються оператори. Більшість URL-адрес належали фінансовим установам», — додає Бутін. «Зупинити діяльність ботнету TrickBot надзвичайно складно. Зловмисники мають у своєму розпорядженні широкий спектр запасних механізмів, а також добре зв’язані з іншими кіберзлочинцями. Тому нанесення ударів по таким мережам є надзвичайно складною операцією».
Дізнайтеся більше на WeLiveSecurity на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.