Después de escapar de los intentos de eliminación por parte de las fuerzas del orden durante los últimos cuatro años, los días de TrickBot ahora están contados, ya que pronto será reemplazado por el malware BazarBackdoor.
La razón de esto es que los miembros principales de TrickBot se han unido al sindicato de ransomware Conti de acuerdo con un nuevo informe de la firma adversaria de ciberdelincuencia e interrupción Advanced Intelligence (AdvIntel).
Para aquellos que no estén familiarizados, TrickBot es una plataforma de malware de Windows que utiliza varios módulos para llevar a cabo diversas actividades maliciosas, como robar información y contraseñas, infiltrarse en dominios de Windows, acceder a redes corporativas y distribuir malware. Los desarrolladores de TrickBot se han asociado con pandillas de ransomware para controlar e infectar millones de dispositivos en todo el mundo desde 2016.
Si bien la pandilla de ransomware Ryuk se asoció por primera vez con TrickBot para obtener acceso a su tecnología, el grupo fue reemplazado por la pandilla de ransomware Conti, que usó su malware durante el año pasado para obtener acceso a las redes comerciales. Según AdvIntel, el grupo que ejecutó las diversas campañas de TrickBot es una división de élite de ciberdelincuentes conocida como Overdose que ha ganado al menos € 200 millones de sus nefastas actividades en línea.
Bajo nueva administración
El año pasado, los investigadores de seguridad de AdvIntel notaron que Conti se había convertido en el único usuario del producto botnet de TrickBot. Sin embargo, a fines de 2021, Conti esencialmente había adquirido TrickBot con varios desarrolladores y gerentes de élite que se unieron a la pandilla de ransomware.
Что отличает Conti от других группировок, занимающихся вымогательством, так это то, что они используют модель, основанную на доверии и командной работе, а не работают со случайными филиалами. В результате группировке удалось скрыться от правоохранительных органов более успешно, чем многим ее коллегам.
En el futuro, el grupo de ransomware Conti planea utilizar el nuevo producto de TrickBot, el malware BazarBackdoor, ya que es más sigiloso y más difícil de detectar. Aunque BazarBackdoor era parte del conjunto de herramientas más grande de TrickBot, desde entonces se ha convertido en su propia herramienta completamente independiente según AdvIntel.
Si bien el día bajo el sol del malware TrickBot puede haber terminado, el grupo de ransomware Conti continuará apuntando a las empresas que utilizan BazarBackdoor. Al mismo tiempo, los exejecutivos de TrickBot ahora operan bajo el liderazgo de Conti, y es probable que el grupo use su talento para lanzar aún más campañas de ataque.
Через BleepingComputer