I ricercatori della divisione X-Force di IBM Security hanno analizzato 13 crypter impiegati dal gruppo di criminali informatici dietro i famigerati malware TrickBot e Conti.
L’uso di crypter per offuscare il malware al fine di eludere il rilevamento antivirus non è nuovo, ma gli operatori di TrickBot, noti come Wizard Spider, ITG23 o Trickbot Group, hanno portato questa pratica a un nuovo livello, automatizzando la crittografia del malware su scala con il lancio di un server di compilazione Jenkins.
La famiglia di malware TrickBot è emersa nel 2016, quando facilitava principalmente le frodi bancarie online. Il malware si è evoluto aiutando la distribuzione di massa di altre famiglie di malware e anche il gruppo di criminali informatici che ne è alla base ha ampliato le proprie attività.
Secondo IBM, Wizard Spider ha ampliato le operazioni con la distribuzione di BazarLoader e Anchor e si è addentrato nel settore dei ransomware con Diavol, Ryuk e Conti. La stretta connessione tra Conti e TrickBot è nota da tempo e un rapporto dell’inizio dell’anno suggeriva che Conti avesse acquistato TrickBot intorno alla fine del 2021.
L’ITG23 è meglio considerato come un gruppo di gruppi, non dissimili da una grande azienda, che fanno capo a una “direzione superiore” comune e condividono infrastrutture e funzioni di supporto, come l’IT e le risorse umane. Uno di questi gruppi di supporto all’interno di ITG23 è dedicato allo sviluppo di crypter da utilizzare per le operazioni di malware del gruppo stesso e per diversi altri gruppi”, spiega IBM.
La banda di criminali informatici cripta il proprio malware da anni, ma lo sviluppo di nuovi crypter suggerisce che il gruppo sta cercando di espandere l’operazione. Infatti, IBM ha scoperto prove che dimostrano che, nell’aprile 2021, il gruppo ha creato un server di build Jenkins per la crittografia automatizzata del malware su scala.
Le famiglie di malware che utilizzano il servizio di crittografia di Wizard Spider includono TrickBot, BazarLoader, Cobalt Strike, Colibri, Emotet, IcedID, Gozi, Qakbot e Sliver. Anche famiglie di ransomware come AstroLocker, Conti, MountLocker e Quantum lo utilizzano.
Il gruppo di hacker ha interrotto TrickBot nel dicembre 2021 e ha ritirato BazarLoader nel febbraio 2022, ma ha continuato a offrire i suoi crypter ad altre famiglie di malware. Tuttavia, i ricercatori hanno notato che il gruppo utilizzava un crypter separato, denominato ShellStarter, per il proprio malware Anchor.
Alcune delle informazioni relative all’uso di crypter da parte del gruppo sono state estratte dai file che un ricercatore di sicurezza ucraino ha diffuso via Twitter dopo l’invasione dell’Ucraina da parte della Russia. Le informazioni includevano conversazioni tra i membri della banda, incentrate principalmente sul ransomware Conti.
Queste conversazioni hanno anche rivelato che l’individuo responsabile delle operazioni di crittografia era indicato come Bentley e che il gruppo TrickBot era affiliato al gruppo di distribuzione di malware TA551.
