Dopo quattro anni di attività e numerosi tentativi di takedown, TrickBot sembrerebbe essere andato via per sempre mentre i suoi membri principali si sarebbero spostati sotto una nuova gestione: la ransomware gang Conti, la prima nella classifica del crimine informatico, che ha intenzione di sostituirlo con il malware più furtivo BazarBackdoor.
TrickBot è una piattaforma di malware per Windows che utilizza più moduli per varie attività dannose, tra cui il furto di informazioni, il furto di password, l’infiltrazione di domini Windows, l’accesso iniziale alle reti e la consegna di malware.
La banda Ryuk ransomware inizialmente ha collaborato con TrickBot per l’accesso iniziale ai suoi primi lavori, ma Conti Ransomware l’ha utilizzato fino all’anno scorso per ottenere l’accesso alle reti aziendali.
Si stima che il gruppo che gestisce le campagne di TrickBot, una divisione d’élite conosciuta con il nome di Overdose, ha guadagnato almeno 200 milioni di dollari dalle sue operazioni
I ricercatori della società Advanced Intelligence (AdvIntel) hanno notato che nel 2021 Conti era diventato l’unico beneficiario della fornitura di accessi di rete di alta qualità di TrickBot.
A questo punto, il team principale di sviluppatori di TrickBot aveva già creato un pezzo di malware più furtivo, BazarBackdoor, utilizzato principalmente per l’accesso remoto in reti aziendali di valore dove il ransomware avrebbe potuto essere distribuito.
Poiché il trojan TrickBot era diventato facilmente rilevabile dai fornitori di antivirus, gli attori della minaccia hanno migrato i loro attacchi su BazarBackdoor per l’accesso iniziale alle reti, poiché è stato sviluppato specificamente per compromettere furtivamente obiettivi di alto valore.
Tuttavia, entro la fine del 2021, Conti è riuscito ad attrarre “più sviluppatori e manager d’élite” della botnet TrickBot, inglobandoli come sua costola piuttosto che collaborandoci in partnership.
Alcuni infiltrati nel gruppo Conti sostengono che BazarBackdoor è passato dall’essere parte del toolkit di TrickBot a uno strumento autonomo il cui sviluppo è controllato dall’omonima ransomware gang.
L’amministratore principale del gruppo Conti ha detto che hanno rilevato TrickBot. Tuttavia, poiché il “bot è morto” stanno spostando Conti da TrickBot a BazarBackdoor come modo principale per ottenere l’accesso iniziale.
Fin dal suo lancio, l’operazione Conti ha mantenuto un codice di condotta che gli ha permesso di diventare uno dei gruppi ransomware più resistenti e redditizi, non influenzato dalle misure repressive delle forze dell’ordine sui suoi concorrenti.
AdvIntel sostiene che il gruppo è stato in grado di eseguire una tranquilla attività criminale adottando un modello “basato sulla fiducia, basato sul team” invece di lavorare con affiliati casuali che avrebbero facilitato l’accesso delle forze dell’ordine nello schema criminale.
Mentre i rilevamenti di malware TrickBot diventeranno meno comuni, le recenti scoperte di AdvIntel mostrano che l’operazione non è finita e si è appena spostata su un nuovo gruppo di controllo che la porta al livello successivo con un malware più adatto per obiettivi di alto valore.
