O que é o malware TrickBot?

O que é o malware TrickBot?

O TrickBot é um trojan bancário lançado em 2016 que desde então evoluiu para um malware modular e multifásico, capaz de realizar uma série de operações ilícitas, como:

• Roubo de credenciais, dados e informações pessoais
• Elevação de privilégios de conta para ampliar o acesso à rede invadida
• Instalação de backdoor na rede para habilitar o acesso remoto
• Download e instalação de outros malware ou ransomware para realizar ataques secundários, sendo que os mais comuns são o ransomware Ryuk ou Conti
• Desativação de ferramentas antivírus ou de outras medidas de cibersegurança, como o Windows Defender
• Mutação para evitar ser detectado

O que torna o TrickBot altamente preocupante é sua natureza modular, que pode se adaptar e evoluir, mirando fraquezas específicas da rede ou do ambiente, que podem ser exploradas durante ataques subsequentes de malware ou ransomware.

Como funciona o malware TrickBot?

Embora o malware TrickBot seja conhecido por sua evolução e adaptação, muitas campanhas seguem uma sequência básica de ataque:

1. O malware TrickBot é entregue ao alvo por meio de um link ou anexo infectado.
2. Após o download no dispositivo alvo, convida-se o usuário a habilitar as macros, que instalam o binário do TrickBot. O malware então usa vários modelos para infectar a rede e roubar dados.
3. Para preparar o cenário para futuros ataques, os operadores do TrickBot também podem tentar desativar a proteção antivírus.
4. Como parte de um ataque secundário, o TrickBot pode espalhar o malware lateralmente pela rede, geralmente explorando uma vulnerabilidade de SMB (bloqueio de mensagens do servidor).
5. Um ataque subsequente, como o ransomware Ryuk, é implementado pelo grupo TrickBot.
6. O invasor exclui ou criptografa manualmente arquivos de backup e gêmeos.
7. O Ryuk criptografa todos os dados do sistema e inicia o caminho de ataque do ransomware.

Sintomas do malware TrickBot

Infelizmente, o usuário raramente nota sintomas da infecção por TrickBot, pois ele foi criado para operar silenciosamente. É possível que um administrador de rede perceba sintomas do ataque, como uma alteração incomum no tráfego ou uma tentativa de acessar domínios estrangeiros ou pertencentes a blacklists. No entanto, a detecção do ataque de TrickBot para usuários comuns é muito difícil, se não impossível, dada a natureza complexa e extensa da maioria dos ambientes de trabalho modernos de nuvem ou híbridos, bem como a natureza sofisticada do malware TrickBot.

As organizações devem se proteger com um conjunto abrangente e avançado de ferramentas de cibersegurança que monitorem continuamente o tráfego de rede e outras atividades em tempo real e alertem a equipe de TI sobre comportamentos suspeitos ou atividades anômalas que devem ser investigadas mais detalhadamente.

Histórico do malware TrickBot

O TrickBot surgiu como um ladrão de informações bancárias em 2016. Acredita-se que o TrickBot compartilha alguns vínculos com o Dyreza, outro ladrão de credenciais altamente eficaz que operou vários anos antes. O TrickBot e o Dyreza compartilham diversas semelhanças operacionais e estruturais notáveis, incluindo a maneira como o malware se comunica com servidores de comandos e controle.

Um ano após seu lançamento, o TrickBot evoluiu, passando a incluir um módulo worm, provavelmente para imitar a bem-sucedida campanha de ransomware, WannaCry. Neste ponto, os criadores também desenvolveram um módulo mirando as credenciais do Outlook, colocando assim milhões (senão bilhões) de contas corporativas em risco de comprometimento. Esse desenvolvimento, assim como outras evoluções, permitiu que o TrickBot expandisse suas capacidades para incluir a coleta de cookies, histórico de navegação e outras informações confidenciais. No final de 2018, o TrickBot era considerado uma das maiores ameaças de cibersegurança do mercado.

Nos últimos anos, especialistas em cibersegurança notaram melhorias significativas nas técnicas de subversão do TrickBot, tornando mais difícil para a organização detectar ataques ativos.

Além de roubar informações financeiras ou servir como plataforma para ataques de ransomware, o TrickBot também pode ser usado para interromper serviços sociais essenciais ou minar o processo democrático. Durante a mais recente eleição presidencial dos Estados Unidos, agências de inteligência confirmaram que esse malware representava uma ameaça ao processo eleitoral seguro e justo.

Notícias recentes do TrickBot, fornecidas pela CrowdStrike

Atualização do WIZARD SPIDER: Resiliente, Reativo e Resoluto: Ler

Nos últimos meses, o WIZARD SPIDER demonstrou sua resiliência e dedicação às operações criminosas operando diversas famílias de ransomware com diferentes modos de atuação, usando TrickBot e BazarLoader para se infiltrar nos ambientes das vítimas e reagindo às tentativas de impedir sua ação.

Big Game Hunting (BGH) com Ryuk: outro ransomware direcionado lucrativo Ler

WIZARD SPIDER é um grupo sofisticado de e-crime que opera o ransomware Ryuk desde agosto de 2018, visando grandes organizações em busca de um alto resgate. Essa metodologia, conhecida como “Big Game Hunting (BGH)”, sinaliza uma mudança nas operações do WIZARD SPIDER. Esse ator é um grupo criminoso com sede na Rússia, conhecido pela operação do malware bancário TrickBot, que se concentrava principalmente em fraudes eletrônicas.

Como se proteger contra o malware TrickBot?

Para organizações empresariais, o primeiro passo na proteção contra o malware TrickBot é a conscientização. Como os humanos sozinhos não conseguem monitor e analisar suficientemente o tráfego e a atividade da rede para detectar quando um ataque está em andamento, é importante desenvolver uma estratégia abrangente de cibersegurança de ponta a ponta que proteja a rede, o endpoint e os usuários da organização por meio de uma série de capacidades avançadas e inteligentes de prevenção, detecção e resposta.

Essas soluções devem automatizar aspectos importantes do processo de monitoramento e análise e fornecer alertas em tempo real aos administradores para ajudar a priorizar as atividades. Isso inclui:

• Monitoramento de indicadores de comprometimento (IOC) e indicadores de ataque (IOA)
• Isolamento de máquinas infectadas da rede
• Atualização e correção da rede e das aplicações de software para solucionar as vulnerabilidade do sistema
• Alerta à equipe de cibersegurança sobre comportamentos anômalos ou atividades incomuns na rede

A organização também deve tomar medidas para garantir a segurança geral da rede por meio das práticas recomendadas de cibersegurança listadas a seguir, incluindo:

• Estabelecer visibilidade de ponta a ponta sobre a rede, incluindo todos os endpoints e usuários
• Seguir o princípio do privilégio mínimo (POLP, na sigla em inglês), que é um conceito e prática de segurança de computadores que concede aos usuários direitos de acesso limitados com base nas tarefas necessárias para o trabalho de cada um deles
• Viabilizar uma estratégia de segmentação de rede para segregar e isolar segmentos da rede corporativa a fim de reduzir a superfície de ataque.
• Implementar a autenticação multifatorial (MFA) e outras técnicas de proteção de identidade

Como os ataques do TrickBot são iniciados por meio de um link ou anexo malicioso, também é importante treinar o funcionário para adotar um comportamento on-line seguro e responsável. Isso inclui:

• Fornecer treinamento em cibersegurança para instruir os usuários sobre técnicas comuns de ataque
• Compartilhar periodicamente exemplos de e-mails de phishing ou campanhas de engenharia social para que as pessoas permaneçam vigilantes
• Incorporar um banner ou outra sinalização de alerta para informar o funcionário quando um e-mail foi originado de uma fonte externa
• Exigir que os usuários alterem as senhas com frequência e garantir que usem senhas fortes
• Mantenha o controle do seu dispositivo e não permita que outras pessoas o utilizem