TrickBot-Betreiber kooperieren mit Shatak-Angreifern für Conti-Ransomware

  • Die Betreiber des TrickBot-Trojaners arbeiten mit der Shathak-Bedrohungsgruppe zusammen, um ihre Produkte zu verbreiten, was letztendlich zur Verbreitung der Conti-Ransomware auf infizierten Computern führt.

    “Die Implementierung von TrickBot hat sich im Laufe der Jahre weiterentwickelt, wobei neuere Versionen von TrickBot Malware-Ladefunktionen implementiert haben”, so die Cybereason-Sicherheitsanalysten Aleksandar Milenkoski und Eli Salem in einem Bericht, der die jüngsten Malware-Verbreitungskampagnen der Gruppe analysiert. “TrickBot hat eine wichtige Rolle in vielen Angriffskampagnen gespielt, die von verschiedenen Bedrohungsakteuren durchgeführt wurden, von gewöhnlichen Cyberkriminellen bis hin zu nationalstaatlichen Akteuren.”

    [Blocked Image: https://thehackernews.com/images/-SmHk9U6ikBk/YVHUUpxrNfI/AAAAAAAA4ac/xluSCU7878ErhlmIN9mj9pKf9fr3LTBwACLcBGAsYHQ/s300-e100/rewind-3-300.png]

    Der jüngste Bericht baut auf einem Bericht von IBM X-Force vom letzten Monat auf, der die Partnerschaften von TrickBot mit anderen Cyberkriminellen, darunter Shathak, zur Verbreitung eigener Malware aufdeckte. Shathak, das auch unter dem Namen TA551 bekannt ist, ist ein ausgeklügelter Cyberkrimineller, der weltweit auf Endbenutzer abzielt und als Malware-Verteiler fungiert, indem er passwortgeschützte ZIP-Archive mit makroaktivierten Office-Dokumenten nutzt.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgGbDhtfsAHFV_2_mgnf4Ld4Y6XVH0qhpVk1DxRSlaOVmD7lmrH9xpa3aZh3iO6yjS0IRCYGcH1gQyGwN-km4gAkdfn6ARgLAk-iplWs1QNog1MTp0WHeeRRkFmlBbQ9mEJjwUBScCqUsudAQ0sOgwvZXwI5kXFuDxzgxdJU8xuKfigJSYMSmHUdY7W=s728-e1000]

    Die TrickBot-Gang, die auch als ITG23 oder Wizard Spider bekannt ist, ist auch für die Entwicklung und Wartung der Conti-Ransomware verantwortlich und vermietet den Zugriff auf die bösartige Software über ein Ransomware-as-a-Service-Modell (RaaS) an verbundene Unternehmen.

    Die Infektionsketten, an denen Shathak beteiligt ist, umfassen in der Regel das Versenden von Phishing-E-Mails, die in mit Malware verseuchte Word-Dokumente eingebettet sind, die letztendlich zur Bereitstellung von TrickBot- oder BazarBackdoor-Malware führen, die dann als Kanal für die Bereitstellung von Cobalt Strike-Beacons sowie der Ransomware verwendet wird, jedoch nicht, bevor sie Aktivitäten zur Aufklärung, zur seitlichen Bewegung, zum Diebstahl von Anmeldeinformationen und zur Datenexfiltration durchführen.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    Cybereason-Forscher gaben an, dass sie eine durchschnittliche Time-to-Ransom (TTR) von zwei Tagen nach den Kompromittierungen beobachteten. Dies bezeichnet die Zeitspanne zwischen dem ersten Zugriff des Bedrohungsakteurs auf ein Netzwerk und dem Zeitpunkt, an dem der Bedrohungsakteur die Ransomware tatsächlich einsetzt.

    Die Ergebnisse kommen auch zu einem Zeitpunkt, zu dem die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das Federal Bureau of Investigation (FBI) berichten, dass bis September 2021 nicht weniger als 400 Conti-Ransomware-Angriffe auf US-amerikanische und internationale Organisationen stattgefunden haben.

    Um Systeme vor Conti-Ransomware zu schützen, empfehlen die Behörden, eine Reihe von Schutzmaßnahmen zu ergreifen, darunter die Forderung nach einer Multi-Faktor-Authentifizierung (MFA), die Implementierung einer Netzwerksegmentierung und die Aktualisierung von Betriebssystemen und Software.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com