يعتقد الخبراء في شركة AdvIntel لذكاء التهديدات وتعطيل برامج الفدية أن البرنامج الضار TrickBot سيئ السمعة قد وصل إلى حدوده ، ولكن يبدو أن فريق التطوير الخاص به قد "استحوذ" عليه من قبل عصابة Conti ransomware ، التي كانت مزدهرة وسط حملات القمع الأخيرة.
كان TrickBot موجودًا منذ عام 2016. كان في البداية حصان طروادة مصرفي مصمم لسرقة البيانات المالية ، لكنه تطور إلى أداة سرقة معيارية يمكنها استهداف مجموعة واسعة من المعلومات.
نجا TrickBot من ملف محاولة الإزالة و الاعتقالات لبعض المطورين. كذلك ساعد البرمجيات الخبيثة Emotet العودة إلى اللعبة بعد إجراء لإنفاذ القانون أدى إلى تعطيل عملها العالمي في يناير 2021.
تعاون مطورو TrickBot أيضًا مع منشئي Ryuk و Conti ransomware.
• ظهرت برامج الفدية Conti في عام 2020 واستخدمه مجرمو الإنترنت في الهجمات ضد العديد من المنظمات في جميع أنحاء العالم. في هذه الهجمات ، لا يقوم مشغلو Conti فقط بتشفير الملفات على الأنظمة المخترقة ، ولكن أيضًا يسرقون البيانات التي يمكن أن يهددوا بتسريبها إذا رفض الضحية دفع فدية. يعتقد أن مجرمي الإنترنت قد حققوا مئات الملايين من الدولارات.
تم إدراج أكثر من اثني عشر ضحية على موقع تسريب Conti ومقره Tor في وقت كتابة هذا التقرير ، بما في ذلك شركة الوجبات الخفيفة البريطانية وجبات خفيفة كي بي. قام المتسللون بتسريب مئات الميجابايت من البيانات التي يُزعم أنها سُرقت من الشركة.
يبدو أن مجموعة كونتي قد ازدهرت وتقول AdvIntel إنها وصلت إلى وضع "نقابة الجريمة" في وقت كانت فيه منظمات إنفاذ القانون في جميع أنحاء العالم - بما في ذلك في روسيا - بشكل متزايد اتخاذ إجراءات صارمة ضد جرائم الإنترنت.
قال AdvIntel: "كانت علاقتها مع TrickBot أحد الأسباب الرئيسية للظهور السريع لـ Conti ، وربما حتى لبقائها على قيد الحياة". "كانت سلسلة التوريد Emotet-TrickBot-Ryuk مرنة للغاية. وبفضل إمداد مستقر وعالي الجودة من عمليات الوصول القادمة من مصدر منظم واحد ، تمكنت شركة Conti من الحفاظ على صورتها دون أي تغييرات هيكلية كبيرة. عندما كانت بقية عصابات برامج الفدية توظف على نطاق واسع شركاء تابعين عشوائيين وتفوضهم لخرق شبكات الشركة ، كانت شركة كونتي تعمل بطريقة قائمة على الثقة وقائمة على الفريق ".
وأضافت أنه "عندما بدأت الشركات التابعة العشوائية المذكورة في اختراق البنية التحتية الغربية بشكل عشوائي وابتزاز القادة الغربيين بشكل عشوائي ، واصفين غضب جهاز الأمن الروسي على رؤوسهم ، احتفظت كونتي فقط بقواعد سلوك واضحة وواصلت العمليات كالمعتاد".
وفقًا للشركة ، أصبحت شركة Conti في مرحلة ما "المستخدم النهائي الوحيد لمنتج شبكة الروبوتات الخاص بشركة TrickBot" ، مما أدى في النهاية إلى جعل TrickBot حصلت عليها مجموعة كونتي بحلول نهاية 2021.
لا يزال TrickBot يعمل ، لكن الكم الهائل من مؤشرات الاختراق (IoCs) المرتبطة بالبرامج الضارة جعلت من السهل اكتشافه ولم يعد يستخدمه Conti ، حسبما قال AdvIntel. بينما وصلت البرامج الضارة TrickBot إلى حدودها ، فإن "نخبة المطورين والمديرين" مفيدة جدًا لعملية Conti.
تعمل مجموعة TrickBot على بازار، برنامج ضار أكثر تخفيًا يُستخدم حاليًا في الهجمات التي تستهدف أهدافًا عالية القيمة.
قال AdvIntel: "[الأشخاص] الذين قادوا TrickBot طوال مدتها الطويلة لن يختفوا ببساطة". "بعد أن" استحوذت "كونتي عليها ، أصبحت الآن غنية بالاحتمالات مع وجود أرضية آمنة تحتها ، وسيجد كونتي دائمًا طريقة للاستفادة من المواهب المتاحة."
هذا الموضوع ذو علاقة بـ: الباحثون هاك كونتي البنية التحتية لبرامج الفدية
هذا الموضوع ذو علاقة بـ: الولايات المتحدة تصدر تنبيهًا مستمرًا باعتباره التعاونية الزراعية الثانية التي تعرضت لبرامج الفدية
هذا الموضوع ذو علاقة بـ: يستخدم المتسللون ذوو الدوافع المالية تقنيات Conti Ransomware المسربة في الهجمات
إدوارد كوفاكس (تضمين التغريدة) محرر مساهم في SecurityWeek. عمل كمدرس لتكنولوجيا المعلومات في المدرسة الثانوية لمدة عامين قبل أن يبدأ حياته المهنية في الصحافة كمراسل لأخبار الأمن في Softpedia. يحمل إدوارد درجة البكالوريوس في المعلوماتية الصناعية ودرجة الماجستير في تقنيات الكمبيوتر المطبقة في الهندسة الكهربائية.
الوسوم (تاج):
