Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
22.02.2022

Вымогательская группировка Conti стала новым руководителем вредоноса TrickBot

После четырех лет вредоносной деятельности группировка TrickBot приняла решение завершить работу своей преступной операции, поскольку главные участники перешли под руководство Conti.

TrickBot — вредоносная платформа для устройств под управлением Windows, использующая несколько модулей для различных вредоносных действий, включая кражу информации, кражу паролей, проникновение в домены Windows, обеспечение первоначального доступа к сетям и установку вредоносных программ.

TrickBot доминирует на рынке вредоносных программ с 2016 года, сотрудничая с вымогательскими группировками и вызывая хаос на миллионах устройств по всему миру.

Первоначально с TrickBot сотрудничала группировка Ryuk, но вскоре место последней заняли операторы Conti, которые использовали вредоносное ПО в течение прошлого года для получения доступа к корпоративным сетям.

Исследователи в области кибербезопасности из компании Advanced Intelligence (AdvIntel) обнаружили , что в 2021 году Conti стала единственным бенефициаром доступа к сетям, скомпрометированным TrickBot. К этому времени основная команда разработчиков TrickBot уже создала более скрытную вредоносную программу BazarBackdoor, используемую в основном для удаленного доступа к особо важным корпоративным сетям, где могут быть развернуты программы-вымогатели. Поскольку троян TrickBot стал легко обнаруживаться антивирусным ПО, киберпреступники стали чаще использовать BazarBackdoor для начального доступа к сетям.

Однако к концу 2021 года Conti удалось привлечь «нескольких элитных разработчиков и менеджеров» TrickBot, превратив операцию в свою дочернюю компанию, а не в партнера. По словам специалистов AdvIntel, BazarBackdoor перешел из набора инструментов TrickBot в автономный инструмент, разработка которого контролируется синдикатом вымогателей Conti. Главный администратор группы Conti сказал, что поскольку «бот мертв», они переводят Conti с TrickBot на BazarBackdoor в качестве основного способа получения первоначального доступа.