Het modulaire Windows crimeware-platform, bekend als TrickBot, sloot donderdag formeel zijn infrastructuur af nadat er berichten waren verschenen over de op handen zijnde pensionering tijdens een stilte van bijna twee maanden, waarmee een einde kwam aan een van de meest hardnekkige malwarecampagnes van de afgelopen jaren.
“TrickBot is weg… Het is nu officieel vanaf donderdag 24 februari 2022. Tot snel… of niet”, AdvIntel’s CEO Vitali Kremez getweet.
Toegeschreven aan een in Rusland gevestigde criminele onderneming genaamd Tovenaar SpinTrickBot begon eind 2016 als een financiële trojan en is een afgeleide van een andere bankmalware genaamd Dyre dat werd in november 2015 ontmanteld. In de loop der jaren veranderde het in een echt Zwitsers zakmes met kwaadaardige capaciteiten, waardoor bedreigingsactoren informatie konden stelen via webinjecties en extra payloads konden laten vallen.
De activiteiten van TrickBot kregen een merkbare hit in oktober 2020 toen het Amerikaanse Cyber Command en een consortium van particuliere beveiligingsbedrijven onder leiding van Microsoft probeerden het grootste deel van zijn infrastructuur te verstoren, waardoor de auteurs van de malware gedwongen werden op te schalen en zijn tactieken te ontwikkelen.
De criminele entiteit zou meer dan $ 20 miljoen hebben geïnvesteerd in haar infrastructuur en groei, zo zei beveiligingsbedrijf Hold Security in een persbericht. WIRED rapport eerder deze maand noemde hij de “zakelijke structuur” van TrickBot om zijn dagelijkse activiteiten uit te voeren en nieuwe ingenieurs in de groep te “inhuren”.
De ontwikkeling komt als dubbele rapporten van cyberbeveiligingsbedrijven AdvIntel en Intel 471 zinspeelde op de mogelijkheid dat TrickBot’s vijfjarige saga tot een einde zou komen in de nasleep van een groter inzicht in hun malware-activiteiten, wat de operators ertoe aanzette om over te schakelen naar nieuwere, verbeterde malware zoals BazarBackdoor (ook bekend als BazarLoader).
“TrickBot is tenslotte relatief oude malware die niet op een belangrijke manier is bijgewerkt”, aldus Intel 471-onderzoekers. “De detectiegraad is hoog en het netwerkverkeer van botcommunicatie is gemakkelijk te herkennen.”
Onderzoeksproject voor malwaretracking, Feodo Tracker van Abuse.ch, laat zien dat er weliswaar geen nieuwe command-and-control (C2) -servers zijn opgezet voor TrickBot aanslagen sinds 16 december 2021, BazarLoader en Emotet zijn in volle gang, met nieuwe C2-servers die pas op 19 en 24 februari zijn geregistreerd.
BazarBackdoor, dat voor het eerst verscheen in 2021, is ontstaan als onderdeel van het modulaire toolkit-arsenaal van Trickbot, maar is sindsdien uitgegroeid tot een volledig autonome malware die voornamelijk wordt gebruikt door de cybercriminaliteitsbende Conti (voorheen Ryuk) om ransomware op bedrijfsnetwerken in te zetten.
De ondergang van TrickBot is ook gekomen toen de exploitanten van Conti-ransomware toptalent van de eerste rekruteerden om zich te concentreren op onopvallende vervangende malware zoals BazarBackdoor. “TrickBot is al een tijdje verbonden met Conti, dus verdere synergie is zeer goed mogelijk”, vertelde Intel 471 aan The Hacker News.
Conti is ook gecrediteerd met het herrijzen en integreren van het Emotet-botnet in zijn meervoudige aanvalskader vanaf november 2021, met TrickBot, ironisch genoeg, gebruikt als een leveringsvoertuig om de malware te verspreiden na een onderbreking van 10 maanden.
“De mensen die TrickBot gedurende zijn lange termijn hebben geleid, zullen echter niet zomaar verdwijnen”, merkte AdvIntel vorige week op. “Na te zijn ‘overgenomen’ door Conti, zijn ze nu rijk aan vooruitzichten met de veilige grond eronder, en Conti zal altijd een manier vinden om gebruik te maken van het beschikbare talent.”
