Los operadores de la red de bots (y vector inicio de acceso) TrickBot han dado de baja sus infraestructuras de servidores tras meses de inactividad, poniendo fin a una de las operaciones de malware más peligrosas y persistentes vistas en los últimos años. Antes del cierre voluntario, la banda de TrickBot no había creado nuevos servidores ni intentado llevar a cabo campañas de spam por correo electrónico desde mediados de diciembre de 2021.
Sin embargo, el cierre no ha sido una sorpresa, dijo Vitali Kremez, director general de la empresa de seguridad AdvIntel. Este Shutdown se produce después de que el grupo se haya vuelto «altamente detectable» por los productos y servicios de ciberseguridad, lo que parece haber dañado la capacidad del grupo para infectar y luego vender los accesos a los sistemas Windows a su clientela criminal, escribieron las firmas de seguridad AdvIntel e Intel471 en informes separados que analizan la reciente caída del malware.
«Trickbot, después de todo, es un malware relativamente antiguo que no ha sido actualizado de forma importante. Las tasas de detección son altas, y el tráfico de red de la comunicación del bot es fácilmente reconocible«, dijo Intel471.
Después de «resucitar» e integrar la red de bots Emotet en su «cártel del cibercrimen» hacia finales de 2021, Kremez dijo que la banda Conti ahora también ha estado reclutado a varios miembros principales de la banda TrickBot.
Bajo su nueva dirección, el antiguo código base y la infraestructura del malware TrickBot parecen haber sido abandonados y desechados, y Kremez dijo que la banda Conti está trabajando con los antiguos desarrolladores de TrickBot para seguir desarrollando y desplegando BazaarBackdoor, uno de los antiguos módulos de TrickBot, como reemplazo del propio TrickBot.
El desvanecimiento de la banda TrickBot se produce después de que tanto las autoridades estadounidenses como las empresas de ciberseguridad hayan intentado derribar por la fuerza su infraestructura de servidores C2 en octubre de 2020. A pesar de perder aproximadamente el 94% de sus servidores, su botnet sobrevivió y volvió con nuevos servidores días después y con nuevos ataques al cabo de unas semanas.
Pero el intento fallido de desmantelamiento no disuadió a las autoridades estadounidenses y respondieron en 2021 acusando y deteniendo a dos de los programadores de TrickBot, Alla Witte y Vladimir Dunaev.
Sin embargo, las detenciones no afectaron a la dirección del grupo, que permaneció intacta y continuó operando la red a lo largo de 2021, antes de entrar en su reciente colaboración con Conti y pasar a una nueva base de código de malware.
En diciembre de 2021, pocos días antes de que TrickBot cerrara sus operaciones, Check Point informó de que había visto el malware en más de 140.000 estaciones de trabajo a lo largo de 2021.
En un artículo de Wired sobre TrickBot, la empresa de seguridad Hold Security dijo que la banda de TrickBot invirtió más de 20 millones de dólares en su infraestructura el año pasado, lo que demuestra la escala de su operación y presupuesto, que empequeñece a muchas empresas de software legítimo hoy en día.
Más información
https://intel471.com/blog/trickbot-2022-emotet-bazar-loader
https://www.wired.com/story/trickbot-malware-group-internal-messages/
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
