脅威インテリジェンスおよびランサムウェア破壊企業AdvIntelの専門家は、悪名高いTrickBotマルウェアが限界に達したと信じていますが、その開発チームは、最近の取り締まりの中で繁栄しているContiランサムウェアギャングに「買収」されたようです。
TrickBotは、2016年から存在しています。当初は財務データを盗むように設計されたバンキング型トロイの木馬でしたが、幅広い情報を標的とすることができるモジュラースティーラーに進化しました。
TrickBotは生き残った 削除の試み と 逮捕 一部の開発者の。 また Emotetマルウェアを支援しました 2021年XNUMX月にグローバルな事業を混乱させた法執行措置に続いて、ゲームに復帰します。
TrickBotの開発者は、RyukおよびContiランサムウェアの作成者とも協力しています。
Contiランサムウェアが登場 2020年にサイバー犯罪者はそれを使用しました 世界中の多くの組織に対する攻撃。 これらの攻撃では、Contiオペレーターは、侵害されたシステム上のファイルを暗号化するだけでなく、被害者が身代金の支払いを拒否した場合に漏洩すると脅迫する可能性のあるデータを盗みます。 サイバー犯罪者は数億ドルを稼いだと考えられています。
執筆時点で、英国のスナック会社を含め、XNUMX人以上の犠牲者がContiのTorベースのリークWebサイトにリストされています。 KPスナック。 ハッカーは、会社から盗まれたとされる数百メガバイトのデータを漏らしました。
Contiグループは繁栄したようであり、AdvIntelは、世界中の法執行機関が含む「犯罪シンジケート」ステータスに達したと述べています。 ロシアで —ますます サイバー犯罪を取り締まる.
「TrickBotとの関係は、おそらくその存続のためにさえ、Contiの急速な上昇の主な理由のXNUMXつでした」とAdvIntelは言いました。 「Emotet-TrickBot-Ryukのサプライチェーンは非常に回復力がありました。 また、単一の組織化されたソースからのアクセスの安定した高品質の供給により、Contiは大きな構造変更なしにそのイメージを維持することができました。 残りのランサムウェアギャングがランダムなアフィリエイトを大量に雇い、企業ネットワークを侵害するように委任していたとき、コンティは信頼ベースのチームベースの方法で働いていました。」
「そして、ランダムなアフィリエイトが西側のインフラストラクチャをランダムにハッキングし、西側の指導者をランダムに脅迫し始め、ロシアの治安機関の怒りを彼らの頭に呼びかけたとき、コンティは単に明確な行動規範を維持し、通常通りに活動を続けた」と付け加えた。
同社によれば、コンティはある時点で「TrickBotのボットネット製品の唯一のエンドユーザー」になり、最終的にTrickBotは本質的に コンティグループが買収 2021の終わりまで。
TrickBotは引き続き機能しますが、マルウェアに関連する膨大な量の侵入の痕跡(IoC)により、検出が容易になり、Contiでは使用されなくなったとAdvIntelは述べています。 TrickBotマルウェアは限界に達していますが、その「エリート開発者および管理者」はContiの運用に非常に役立ちます。
TrickBotグループは取り組んできました バザールバックドア、高価値のターゲットを狙った攻撃で現在使用されているステルスマルウェア。
「TrickBotを長期にわたってリードしてきた人々は、単に姿を消すだけではありません」とAdvIntelは述べています。 「コンティに「買収」された後、彼らは今やその下に安全な地盤がある見通しに富んでおり、コンティは常に利用可能な才能を活用する方法を見つけるでしょう。」
関連する 研究者はContiランサムウェアインフラストラクチャをハックします
関連する 米国がランサムウェアによるXNUMX番目の農業協同組合のヒットとしてコンティアラートを発行
関連する 金銭的に動機付けられたハッカーは、攻撃に漏洩したContiランサムウェア技術を使用します
Eduard Kovacs(@EduardKovacs)はSecurityWeekの寄稿編集者です。 彼は高校のIT教師としてXNUMX年間働いた後、Softpediaのセキュリティニュースレポーターとしてジャーナリズムのキャリアを開始しました。 Eduardは、産業情報学の学士号と、電気工学に適用されるコンピューター技術の修士号を取得しています。
タグ:
