Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
26.02.2022

Группировка TrickBot отключила свою инфраструктуру

После нескольких месяцев простоя операторы нашумевшего ботнета TrickBot отключили свою инфраструктуру. Таким образом, одна и самых опасных и продолжительных вредоносных операций теперь прекращена.

Как сообщил изданию The Record глава ИБ-компании AdvIntel Виталий Кремез, отключение ботнета было весьма ожидаемо. Дело в том, что решения безопасности научились очень хорошо детектировать вредоносное ПО TrickBot, и его операторы лишились возможности стабильно заражать Windows-машины и продавать к ним доступ своим клиентам.

«В конце концов, Trickbot – сравнительно старое вредоносное ПО, не получавшее серьезных обновлений. Уровень детектирования очень высок, и сетевой трафик ботов легко распознается», – сообщили специалисты Intel471.

По словам Кремеза, еще одна причина отключения ботнета – переход его операторов «под крыло» кибервымогательской группировки Conti.

К концу 2021 года Conti отошел ботнет Emotet, а теперь ее ряды пополнили несколько ключевых членов группировки TrickBot.

Новое руководство, похоже, решило отказаться от кодовой базы и инфраструктуры TrickBot. Как сообщил Кремез, в настоящее время Conti работает с разработчиками TrickBot над совершенствованием и развертыванием BazaarBackdoor – одного из модулей TrickBot, который должен стать заменой ему самому.

В 2020 году американские правоохранительные органы совместно с ИБ-компаниями отключили большую часть C&C-инфраструктуры TrickBot. Хотя группировка лишилась 94% своих серверов, ботнет выжил и вернулся с новыми серверами уже через несколько дней, а через несколько недель начались новые атаки.

В 2021 году власти США предъявили обвинения и задержали двух программистов TrickBot, однако руководство группировки осталось нетронутым. Группировка продолжала функционировать весь 2021 год до входа в состав Conti и перехода на новую кодовую базу.

Перед прекращением операций в декабре прошлого года TrickBot заразил за год более 140 тыс. систем.

По данным ИБ-компании Hold Security, в 2021 году группировка потратила на свою инфраструктуру более $20 млн.