Het modulaire Windows crimeware-platform dat bekend staat als TrickBot, heeft donderdag formeel zijn infrastructuur gesloten nadat er berichten waren verschenen over zijn aanstaande pensionering te midden van een stilte van bijna twee maanden, waarmee een einde kwam aan een van de meest hardnekkige malwarecampagnes van de afgelopen jaren.
"TrickBot is weg ... Het is nu officieel vanaf donderdag 24 februari 2022. Tot snel ... of niet", CEO Vitali Kremez van AdvIntel tweeted. "TrickBot is verdwenen omdat het inefficiënt is geworden voor gerichte inbraken."
Toegeschreven aan een in Rusland gevestigde criminele onderneming genaamd Tovenaar Spin, TrickBot begon eind 2016 als een financiële trojan en is een afgeleide van een andere bancaire malware genaamd Dyre dat in november 2015 werd ontmanteld. In de loop der jaren veranderde het in een echt Zwitsers zakmes met kwaadaardige capaciteiten, waardoor bedreigingsactoren informatie konden stelen via webinjecties en laat extra ladingen vallen.
De activiteiten van TrickBot kregen een merkbare klap in oktober 2020 toen het Amerikaanse Cyber Command en een consortium van particuliere beveiligingsbedrijven onder leiding van Microsoft probeerden het grootste deel van zijn infrastructuur verstoren, waardoor de auteurs van de malware gedwongen worden om vergroot en zijn tactieken ontwikkelen.
De criminele entiteit zou meer dan $ 20 miljoen hebben geïnvesteerd in haar infrastructuur en groei, zo zei beveiligingsbedrijf Hold Security in een persbericht. WIRED rapport eerder deze maand noemde hij de "zakelijke structuur" van TrickBot om zijn dagelijkse activiteiten uit te voeren en nieuwe ingenieurs in de groep te "inhuren".
De ontwikkeling komt als dubbele rapporten van cyberbeveiligingsbedrijven advertentieIntel en Intel 471 hintte op de mogelijkheid dat TrickBot's vijfjarige saga tot een einde zou komen in het kielzog van een beter inzicht in hun malware-activiteiten, wat de operators ertoe aanzette om over te schakelen naar nieuwere, verbeterde malware zoals BazarBackdoor (ook bekend als BazarLoader).
"TrickBot is tenslotte relatief oude malware die niet op een belangrijke manier is bijgewerkt", aldus Intel 471-onderzoekers. "De detectiepercentages zijn hoog en het netwerkverkeer van botcommunicatie is gemakkelijk te herkennen."
Onderzoeksproject voor malwaretracking, Feodo Tracker van Abuse.ch, laat zien dat er weliswaar geen nieuwe command-and-control (C2) -servers zijn opgezet voor TrickBot aanslagen sinds 16 december 2021, BazaarLoader en Emotet zijn in volle gang, met nieuwe C2-servers die pas op 19 en 24 februari zijn geregistreerd.
BazarBackdoor, die eerst verscheen in 2021, is ontstaan als onderdeel van het modulaire toolkit-arsenaal van Trickbot, maar is sindsdien uitgegroeid tot een volledig autonome malware die voornamelijk wordt gebruikt door de cybercriminaliteit van Conti (voorheen Ryuk) om ransomware op bedrijfsnetwerken te implementeren.
De ondergang van TrickBot is ook gekomen toen de exploitanten van Conti-ransomware toptalent van de eerste rekruteerden om zich te concentreren op onopvallende vervangende malware zoals BazarBackdoor. "TrickBot is al een tijdje verbonden met Conti, dus verdere synergie is zeer goed mogelijk", vertelde Intel 471 aan The Hacker News.
Conti is ook gecrediteerd met herrijzen en integreren het Emotet-botnet in zijn meerledige aanvalsframework vanaf november 2021, met TrickBot, ironisch genoeg, gebruikt als een leveringsvoertuig om de malware te verspreiden na een onderbreking van 10 maanden.
"De mensen die TrickBot gedurende zijn lange termijn hebben geleid, zullen echter niet zomaar verdwijnen", merkte AdvIntel vorige week op. "Na te zijn 'overgenomen' door Conti, zijn ze nu rijk aan prospects met de veilige grond eronder, en Conti zal altijd een manier vinden om gebruik te maken van het beschikbare talent."
