Experts van AdvIntel, het bedrijf voor bedreigingsinformatie en ransomware-disruptie, zijn van mening dat de beruchte TrickBot-malware zijn grenzen heeft bereikt, maar het ontwikkelingsteam lijkt te zijn "overgenomen" door de Conti-ransomwarebende, die het goed deed te midden van recente repressies.
TrickBot bestaat al sinds 2016. Het was aanvankelijk een bancaire trojan die was ontworpen om financiële gegevens te stelen, maar het evolueerde naar een modulaire stealer die zich op een breed scala aan informatie kon richten.
TrickBot heeft overleefd een poging tot verwijdering en arrestaties van sommige ontwikkelaars. Het ook hielp de Emotet-malware keer terug in het spel na een wetshandhavingsactie die de wereldwijde operatie in januari 2021 verstoorde.
TrickBot-ontwikkelaars hebben ook samengewerkt met de makers van de Ryuk- en Conti-ransomware.
De Conti-ransomware is ontstaan in 2020 en cybercriminelen hebben het gebruikt in aanvallen op veel organisaties wereldwijd. Bij deze aanvallen versleutelen Conti-operators niet alleen bestanden op gecompromitteerde systemen, maar stelen ze ook gegevens die ze kunnen dreigen te lekken als het slachtoffer weigert losgeld te betalen. De cybercriminelen zouden honderden miljoenen dollars hebben verdiend.
Op het moment van schrijven staan meer dan een dozijn slachtoffers vermeld op Conti's Tor-gebaseerde lekwebsite, waaronder het Britse snacksbedrijf KP-snacks. De hackers hebben honderden megabytes aan gegevens gelekt die van het bedrijf zouden zijn gestolen.
De Conti-groep lijkt voorspoedig te zijn en AdvIntel zegt dat ze de status van "misdaadsyndicaat" hebben bereikt in een tijd waarin wetshandhavingsorganisaties over de hele wereld - inclusief in Rusland — hebben steeds meer hardhandig opgetreden tegen cybercriminaliteit.
"De relatie met TrickBot was een van de belangrijkste redenen voor de snelle opkomst van Conti, mogelijk zelfs voor zijn voortbestaan", aldus AdvIntel. “De toeleveringsketen van Emotet-TrickBot-Ryuk was extreem veerkrachtig. En met een stabiel en kwalitatief hoogstaand aanbod van toegangen afkomstig van een enkele georganiseerde bron, kon Conti zijn imago behouden zonder grote structurele veranderingen. Toen de rest van de ransomware-bendes massaal willekeurige filialen inhuurden en hen delegeerden om bedrijfsnetwerken te doorbreken, werkte Conti op een op vertrouwen gebaseerde, teamgebaseerde manier.
"En toen genoemde willekeurige aangesloten bedrijven willekeurig de westerse infrastructuur begonnen te hacken en westerse leiders willekeurig begonnen te chanteren, waarbij ze de woede van het Russische veiligheidsapparaat op hun hoofd riepen, hield Conti zich alleen aan een duidelijke gedragscode en zette hij zijn operaties gewoon voort", voegde het eraan toe.
Volgens het bedrijf werd Conti op een gegeven moment "de enige eindgebruiker van het botnetproduct van TrickBot", wat er uiteindelijk toe leidde dat TrickBot in wezen overgenomen door de Conti-groep aan het einde van 2021.
TrickBot is nog steeds operationeel, maar de enorme hoeveelheid indicatoren van compromissen (IoC's) die verband houden met de malware, hebben het gemakkelijk gemaakt om te detecteren en het wordt niet langer gebruikt door Conti, zei AdvIntel. Hoewel de TrickBot-malware zijn limieten heeft bereikt, zijn de "elite-ontwikkelaars en -managers" erg nuttig voor de Conti-operatie.
De TrickBot-groep heeft gewerkt aan BazarAchterdeur, een sluipende malware die momenteel wordt gebruikt bij aanvallen gericht op hoogwaardige doelen.
"[De] mensen die TrickBot gedurende zijn lange termijn hebben geleid, zullen niet zomaar verdwijnen", zei AdvIntel. "Na te zijn 'overgenomen' door Conti, zijn ze nu rijk aan prospects met de veilige grond eronder, en Conti zal altijd een manier vinden om gebruik te maken van het beschikbare talent."
Zie ook: Onderzoekers hacken Conti Ransomware-infrastructuur
Zie ook: VS geeft Conti Alert uit als tweede landbouwcoöperatie die door ransomware wordt getroffen
Zie ook: Financieel gemotiveerde hackers gebruiken gelekte Conti Ransomware-technieken bij aanvallen
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags:
