TrickBot: malware para Windows encerra operações

Desde 2016, o malware para Windows TrickBot é notório no cenário de ameaças. Entretanto, em  dezembro de 2021, as campanhas de distribuição cessaram repentinamente, levando ao encerramento das operações após os principais desenvolvedores focarem em famílias mais furtivas dos malwares BazarBackdoor e Anchor.

Imagem: AdvIntel

Comumente, o TrickBot usa e-mails de phishing ou outros malwares para se infectar máquinas silenciosa, baixando módulos para executar uma gama de atividades maliciosas: roubo do banco de dados do Active Directory Services de um domínio, a propagação lateral em uma rede, o bloqueio de tela, o roubo de cookies e senhas de navegadores, e o roubo de chaves OpenSSH.

Imagem: AdvIntel

Além de um histórico de relações com operações de ransomware, cujos os grupos se associaram aos desenvolvedores do TrickBot para receber acesso inicial às redes infectadas pelo malware, como Ryuk em 2019 e o grupo Conti no ano seguinte. Acredita-se que o primeiro tenha apenas substituído o nome pelo segundo.

Imagem: AdvIntel

O TrickBot também tentou lançar a própria operação ransomware em 2021, mas Diavol, como foi chamada, nunca ganhou força. Possivelmente por ter tido um dos seus desenvolvedores preso.

A empresa de segurança cibernética AdvIntel afirmou à BleepingComputer que o grupo Conti não recrutou “desenvolvedores e gerentes de elite” para trabalhar no malware TrickBot, mas para se dedicarem às famílias mais furtivas, como BazarBackdoor e Anchor.

Além disso, a AdvIntel explicou também que, por ser detectado muito facilmente por software de segurança, a operação do TrickBot seria encerrada em breve, o que se confirmou na última quinta-feira (24) em um relatório divulgado pela Intel471.

TrickBot is gone…It is official now as of Thursday, February 24, 2022
See you soon … or not 😉 pic.twitter.com/zWCCpngUI7

— Vitali Kremez (@VK_Intel) February 24, 2022

Agora, o grupo de ransomware Conti controla o desenvolvimento do malware TrickBot voltado às próprias necessidades. Com o desligamento, o CEO da AdIntel Vilali Kremez explica que a rede TrickBot se concentra quase que inteiramente em ransomware e quebra de rede.

Brasil: os principais malwares detectados em janeiro

O trojan bancário Emotet liderou a lista de ameaças sobre organizações brasileiras. Em dezembro, o índice de impacto era e 6,28%, aumentando para 9,96% em janeiro. Apesar de ter sido encerrada e substituída por plataformas mais lucrativas, o TrickBot continou um segundo lugar no ranking nacional, representando 3,34%, seguido de Glupteba (2,62%). De acordo com o relatório da Check Point, nos últimos 30 dias, 56% dos arquivos maliciosos foram encaminhados via e-mail no Brasil.

Imagem: Check Point Research

No ranking mundial, os primeiros lugares permanecem inalterados — Emotet como o malware mais popular (6%), seguido do TrickBot, com impacto de 4%. O Formbook aparece em terceiro, responsável por afetar 3% das organizações pelo mundo.