WikiDer > Трикбот

Trickbot

Трикбот компьютер вредоносное ПО, а троян для Майкрософт Виндоус и другие операционные системы.[1] Первоначально его основной функцией была кража банковских реквизитов и других учетных данных, но операторы расширили его возможности, чтобы создать полную модульную экосистему вредоносного ПО.[2]

Впервые о Trickbot сообщили в октябре 2016 года. Он распространяется такими способами, как исполняемые программы, командные файлы, фишинг электронной почты, Документы Google и поддельные заявления о сексуальных домогательствах.[3]

Веб-сайт Пищевой компьютер отслеживает эволюцию TrickBot с момента его создания как банковского трояна. В статьях говорится о его расширении на атаку PayPal и бизнес управление взаимоотношениями с клиентами (CRM; июнь 2017 г.), добавлен компонент самораспространяющегося червя (июль 2017 г.), coinbase.com, DKIM поддержка для обхода электронное письмо фильтры, украсть историю проблем Windows, украсть файлы cookie (июль 2019 г.), нацелены на программное обеспечение безопасности, такое как Защитник Microsoft для предотвращения его обнаружения и удаления (июль 2019 г.) украсть Verizon Wireless, T-Mobile и Sprint PIN коды путем внедрения кода при доступе к веб-сайту (август 2019 г.), украсть OpenSSH и OpenVPN ключей (ноябрь 2019 г.), распространение вредоносных программ по сети (январь 2020 г.), обход Windows 10 ОАК и украсть учетные данные Active Directory (январь 2020 г.), использовать поддельные COVID-19 электронные письма и новости (с марта 2019 г.), в обход Android мобильный двухфакторная аутентификация, проверяет, запускается ли он на виртуальной машине (по данным экспертов по борьбе с вредоносными программами; июль 2020 г.), заражая системы Linux (июль 2020 г.).[4]

TrickBot может предоставлять другим вредоносным программам доступ как услугу к зараженным системам; включая Рюк (Январь 2019 г.) и Конти программа-вымогатель; то Emotet Известно, что спам-троянец устанавливает TrickBot (июль 2020 г.).[4]

27 сентября 2020 года больницы и системы здравоохранения США были остановлены в результате кибератаки со стороны программы-вымогателя Ryuk. Предполагается, что троянец Emotet начал заражение ботнета, отправив вредоносные вложения электронной почты в течение 2020 года. Через некоторое время он установит TrickBot, который затем предоставит доступ к Ryuk.[5]

С конца сентября 2020 года ботнет TrickBot подвергся атаке со стороны того, что предположительно является отделением киберкомандования Министерства обороны США и несколькими охранными компаниями. Конфигурационный файл был доставлен в системы, зараженные TrickBot, который изменил командный и контрольный сервер адрес 127.0.0.1 (localhost, адрес, по которому нет доступа в Интернет). Фактически усилия начались несколькими месяцами ранее, с нескольких подрывных действий. Проект нацелен на долгосрочный эффект, собирая и тщательно анализируя данные из ботнета. Неизвестное количество серверов C2 также было отключено в рамках юридических процедур, чтобы прервать их связь с ботами на уровне хостинг-провайдера. Иск начался после того, как Окружной суд Восточного округа штата Вирджиния удовлетворил ходатайство Microsoft о вынесении судебного постановления о прекращении деятельности TrickBot. Требуются большие технические усилия; как часть атаки, ESETАвтоматические системы исследовали более 125 000 образцов Trickbot с более чем 40 000 файлов конфигурации, по крайней мере, для 28 отдельных плагинов, используемых вредоносным ПО для кражи паролей, изменения трафика или самораспространения.

Атаки могут значительно нарушить работу TrickBot, но у него есть резервные механизмы для восстановления, с трудом, компьютеров, удаленных из ботнета. В этом случае сообщалось, что произошел кратковременный сбой, но ботнет быстро восстановился, поскольку его инфраструктура осталась нетронутой.[6][2][7]

Правительство США считает программы-вымогатели серьезной угрозой для Выборы в США 2020, поскольку атаки могут украсть или зашифровать информацию об избирателях и результатах выборов, а также повлиять на избирательные системы.[6]

20 октября 2020 года BleepingComputer сообщил, что операция TrickBot была «на грани полного отключения из-за усилий альянса провайдеров кибербезопасности и хостинга, нацеленных на серверы управления и контроля ботнета» после относительно неэффективных разрушительных действий в начале месяца. Коалиция, возглавляемая Microsoft Digital Crimes Unit (DCU), оказала серьезное влияние. Действительно, после предыдущей атаки TrickBot продолжил заражать больше компьютеров. 18 октября Microsoft заявила, что 94% критически важной операционной инфраструктуры Trickbot - 120 из 128 серверов - были ликвидированы. Некоторые серверы Trickbot оставались активными в Бразилии, Колумбии, Индонезии и Кыргызстане. Постоянные действия, как технические, так и юридические, необходимы, чтобы предотвратить повторное появление Trickbot из-за его уникальной архитектуры. Хотя не было никаких доказательств того, что TrickBot нацелился на выборы в США 3 ноября 2020 года, интенсивные усилия будут продолжены до этой даты.[8]

Несмотря на усилия против TrickBot, США ФБР и два федеральных агентства предупредили 29 октября, что у них есть «достоверная информация об увеличивающейся и неминуемой угрозе киберпреступлений [программ-вымогателей] для американских больниц и медицинских учреждений», поскольку число случаев Covid-19 росло. После нападений в предыдущем месяце на этой неделе было совершено нападение на пять больниц, и еще сотни были потенциальными целями. Рюк, засеянный через TrickBot, был методом атаки.[9]

Рекомендации

  1. ^ "Консультативный: Trickbot". www.ncsc.gov.uk. Получено 2020-10-13.
  2. ^ а б "Трикбот нарушен". Безопасность Microsoft. 2020-10-12. Получено 2020-10-13.
  3. ^ Гатлан, Серджиу (11 ноября 2019 г.). «Вредоносное ПО TrickBot использует фальшивые жалобы на сексуальные домогательства в качестве приманки». КровотечениеКомпьютер.
  4. ^ а б «Статьи с тегом TrickBot». Пищевой компьютер. Получено 29 октября 2020. Список статей Bleeping Computer о TrickBot с описательными заголовками, начиная с 2016 г.
  5. ^ Гатлан, Серджиу (28 сентября 2020 г.). «Больницы UHS пострадали от атаки с использованием вымогателя Ryuk по всей стране». КровотечениеКомпьютер.
  6. ^ а б Иласку, Ионут (12 октября 2020 г.). «Ботнет TrickBot был нацелен на операции по удалению, влияние незначительно». КровотечениеКомпьютер.
  7. ^ Грин, Джей; Накашима, Эллен. «Microsoft стремится разрушить российский криминальный ботнет, который, как она опасается, может внести путаницу в президентские выборы». Вашингтон Пост. ISSN 0190-8286. Получено 2020-10-13.
  8. ^ Иласку, Ионут (20 октября 2020 г.). «Зловред TrickBot осажден со всех сторон, и он работает». КровотечениеКомпьютер.
  9. ^ Персонал и агентства (29 октября 2020 г.). «Больничные системы США сталкиваются с« неминуемой »угрозой кибератак, - предупреждает ФБР». Хранитель.