Botnet Trickbot powstaje z martwych i jest jeszcze groźniejszy

Zaledwie kilka miesięcy temu firmy zajmujące się cyberbezpieczeństwem wydały wyrok na botnet o nazwie Trickbot. Wygląda na to, że akcja wyłączenia go powiodła się tylko częściowo. Owszem, Microsoft wraz z partnerami odrąbał mu głowę, ale dziś ona odrosła i ma jeszcze większe zęby.

Na początku swojej drogi Trickbot był zwykłym trojanem bankowym, który ewoluował na tyle skutecznie, że stał się bardzo popularny wśród cyberprzestępców. Zawdzięcza to głównie modułowej budowie, która pozwala na przeprowadzanie bardzo zróżnicowanych ataków. Można powiedzieć, że to taki szwajcarski scyzoryk wśród złośliwego oprogramowania. Trickbot nie tylko wykrada hasła, ale potrafi się rozprzestrzeniać po sieci wewnętrznej zaatakowanej firmy oraz jest zdolny do instalowania innych rodzajów niebezpiecznego kodu.

Botnet Trickbot powstaje z martwych i jest jeszcze groźniejszy

W październiku ubiegłego roku Microsoft wraz z innymi firmami przeprowadził akcję, która miała na celu zakłócenie działania botnetu Trickbot. Wydawało się przez moment, że była ona skuteczna, ale niestety hydrze odrosła głowa. Badacze z Menlo Security zidentyfikowali właśnie kampanię, która ma wszelkie znamiona wcześniejszych działań Trickbota. Wygląda na to, że ataki wymierzone są wyłącznie w amerykańskie firmy prawnicze i ubezpieczeniowe.

Trickbot i ataki phishingowe

Phishing, który jest do nich kierowany, został bardzo dobrze przygotowany i może być skuteczny, jeśli spojrzeć z punktu widzenia socjotechniki. Mail informuje o tym, że odbiorca popełnił wykroczenie drogowe i zachęca do pobrania „dowodu” wykroczenia. W tym przypadku jest to archiwum, które po rozpakowaniu uruchamia złośliwy kod Javscript. Ten łączy się z zewnętrznym serwerem i pobiera główną część Trickbota. Analiza tego właśnie elementu wskazuje, że łączy się on z domenami, powiązanymi z tym właśnie botnetem.

Brytyjskie National Cyber ​​Security Center zaleca wszystkim instalowanie najnowszych poprawek do systemów operacyjnych, bo Trickbot wykorzystuje głównie luki 0-day. Warto też, aby w całej sieci firmowej stosowane było uwierzytelnianie dwuskładnikowe. To znacznie utrudni rozprzestrzenianie się złośliwego kodu.

Dziś wiele firm pada ofiarą ransomware. Część z nich nawet kilkukrotnie, jak to miało miejsce w przypadku Enela, o czym opowiadaliśmy w jednym z odcinków naszego programu na antenie Biznes24:

Źródło: ZDNet

Dodaj komentarz