Корпорация Microsoft 12 октября 2020 года заявила, что вместе с несколькими партнерами ей удалось юридическим путём отключить всю существующую инфраструктуру ботнета TrickBot, а также запретить операторам выполнять регистрацию дополнительных доменов управления и контроля. Но TrickBot продолжает и сейчас работать в обычном режиме.
Через некоторое время после заявления корпорации Microsoft, эксперты по информационной безопасности сообщили, что вредоносное ПО, которое активно использует ботнет TrickBot (в частности, программа-вымогатель Ryuk), практически не пострадало от операции, проведенной американской компанией и ее партнерами.
При этом на ботнет TrickBot было оказано серьезное воздействие, потому что большая часть командных серверов перестала работать приблизительно через 10 дней после операции. В Microsoft отдельно отмечали, что все усилия направлены на то, чтобы приостановить деятельность TrickBot во время выборов президента в США.
Теперь, спустя чуть больше месяца после операции, эксперты по кибербезопасности наблюдают, что киберпреступники вносят в ботнет TrickBot специальные обновления, чтобы увеличить его устойчивость и улучшить его шпионский функционал.
В новых версиях троянца TrickBot в полной мере сохранены модули, которые ранее использовались. Операторы применяют теперь исключительно упакованные модули, подписывают ответы на обновления цифровой подписью (с высокой долей вероятности, чтобы предотвратить будущие атаки).
Операторы вредоносного ПО, как отмечают эксперты, постепенно переходят на эксплуатацию маршрутизаторов MikroTik в качестве C&C серверов. Также специалисты заявляют, что хакеры применяют домен EmerDNS в качестве резервного сервера. По мнению компании Bitdefender, ключ EmerCoin, который используется для администрирования сервера, также применяется для администрирования серверов C&C для бэкдора Bazar.
Новая версия вредоносного ПО TrickBot применялась в основном для проведения кибератак на системы американских, российских, малазийских предприятий. Виталий Кремез, специалист по информационной безопасности Intel, отметил, что в TrickBot также был внедрен безфайловый метод загрузки DLL, скопированный из библиотеки MemoryModule.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ