TrickBot, la cibermafia desafía al Imperio

La cibermafia Trickbot convirtió su troyano bancario original en un conjunto de herramientas de piratería de uso múltiple; los módulos individuales, que funcionan como complementos, permiten a sus operadores implementar el ransomware Ryuk y Conti, mientras que otras funciones permiten el registro de teclas y la recopilación de datos.

“No conozco ninguna otra familia de malware que tenga tantos módulos o funcionalidades extendidas”, según Vlad Pasca, analista senior de malware de la empresa de seguridad Lifars. Esa sofisticación ha ayudado a la ciberbanda, también conocida como Wizard Spider, a quitar millones de dólares a las víctimas.

Un equipo central de media docena de ciberdelincuentes gestiona las operaciones de Trickbot, según los documentos federales que en USA leyó la revista Wired. Cada miembro tiene sus propias especialidades. Al frente de la organización está 'Stern'. (Un seudónimo obvio, de alguien que se identifica con ese nombre en las conversaciones interceptadas).

“Él es el jefe de Trickbot”, afirma Alex Holden, director ejecutivo de la firma de seguridad cibernética Hold Security. Stern actúa como un CEO y se comunica con otros miembros que están en un nivel similar. También pueden informar a otros desconocidos, dice Holden. “Stern no se mete tanto en el aspecto técnico”, dice. "Él quiere informes. Quiere más comunicación. Quiere tomar decisiones de alto nivel”.

Trickbot3.webp

“No conozco ninguna otra familia de malware que tenga tantos módulos o funcionalidades extendidas”, según Vlad Pasca.

La guerra

El 27/09/2020, los hospitales y sistemas de atención médica de USA fueron cerrados por un ataque cibernético que utilizó el ransomware Ryuk: el troyano Emotet inició la infección de botnet al enviar archivos adjuntos de correo electrónico maliciosos durante 2020. Después de un tiempo, se instaló TrickBot, que proporcionó acceso a Ryuk.

Entonces, la botnet TrickBot fue atacada por el Comando Cibernético del Departamento de Defensa de USA, que coordinó su ofensiva con varias empresas de seguridad.

La acción comenzó después de que el Tribunal de Distrito en el Distrito Este de Virginia accedió a la solicitud de Microsoft para detener la actividad de TrickBot.

Los ataques afectaron a TrickBot, pero luego se dijo que la botnet se recuperó porque su infraestructura permaneció intacta.

La coalición encabezada por la Unidad de Delitos Digitales (DCU), de Microsoft, logró eliminar el 94% de la infraestructura operativa crítica de Trickboto pero, más tarde, TrickBot continuó infectando más computadoras desde servidores activos en Brasil, Colombia, Indonesia y Kirguistán.

Trickbot.png

Microsoft no pudo con TrickBot.

Ataque y contraataque

Algunos detalles del funcionamiento interno de TrickBot se revelaron en junio y octubre de 2021, cuando el Departamento de Justicia de USA informó -pero no precisó los cargos- contra 2 presuntos miembros de Trickbot, Alla Witte y Vladimir Dunaev.

• Witte, un ciudadano de Letonia, de 55 años que vivía en Surinam, fue arrestado en junio de 2021 mientras viajaba a Miami y fue acusado de 19 cargos que van desde robo de identidad hasta fraude bancario.
• Dunaev, de 38 años, fue extraditado de Corea del Sur a Ohio en octubre de 2021, también acusado de desarrollar el malware de Trickbot.

A pesar de los arrestos y las represiones más amplias contra el ransomware en Rusia, el grupo Trickbot no se ha escondido.

Hacia fines de 2021, el grupo impulsó sus operaciones, dice Limor Kessem, asesor ejecutivo de seguridad de IBM Security:

Están tratando de infectar a tantas personas como sea posible contratando la infección. Están tratando de infectar a tantas personas como sea posible contratando la infección.

Desde principios de 2022, el equipo de seguridad de IBM descubrió que Trickbot aumenta sus esfuerzos para evadir las protecciones de seguridad y ocultar su actividad.

Los codificadores y desarrolladores reclutados por Trickbot provienen de ofertas de trabajo en foros de la web oscura, pero también en sitios web abiertos en ruso, según el Departamento de Justicia.

Si bien muchos de los anuncios de trabajo se esconden a simple vista, no dicen explícitamente que los candidatos seleccionados trabajarán para uno de los grupos de ciberdelincuentes más despiadados del mundo.

Un anuncio de trabajo estándar solicita un ingeniero que conozca el lenguaje de codificación C ++, enfocado en los navegadores web en Windows, se trabaja de forma remota con un presupuesto de US$ 7.000. Si el trabajo es exitoso se promete una posición a largo plazo.

El FBI también vinculó el uso del ransomware Diavol a Trickbot.

El año pasado invirtieron más de US$ 20 millones en su infraestructura y crecimiento. Personal, tecnología, comunicaciones, desarrollo, extorsión. El año pasado invirtieron más de US$ 20 millones en su infraestructura y crecimiento. Personal, tecnología, comunicaciones, desarrollo, extorsión.

Trickbot4.jpg

La trampa

Hay que remontarse a REvil (Ransomware Evil o Sodinokibi), grupo operativo de ransomware como servicio (RaaS) con sede en Rusia o de habla rusa.

El código de ransomware utilizado por REvil se asemeja al código utilizado por DarkSide: REvil y DarkSide utilizan notas de rescate estructuradas de forma similar y el mismo código para verificar que la víctima no se encuentre en un país de la Comunidad de Estados Independientes (CEI), que lidera la Federación Rusa.

Los expertos en seguridad cibernética creen que REvil se remonta a la ex ciberbanda GandCrab porque REvil se activó inmediatamente después del cierre de GandCrab, y que ambos ransomware comparten una cantidad significativa de código.

Luego de un pedido de Joe Biden a Vladímir Putin, las autoridades en Rusia informaron que desmantelaron el grupo criminal de ransomware REvil.

Estados Unidos había ofrecido una recompensa de hasta US$ 10 millones por información que condujera a los cibermafiosos.

No fue informado ningún miembro ruso de la pandilla.

Según la agencia de noticias estatal rusa Tass, REvil "desarrolló software malicioso" y "organizó el robo de dinero de las cuentas bancarias de ciudadanos extranjeros".

De acuerdo a USA, antes de los arrestos de REvil, Rusa permitió durante años que los grupos de ransomware operaran con relativa impunidad.

Solamente no debían atacar los intereses rusos con Trickbot, Ryuk, Emotet y Conti porque no quieren una confrontación con el gobierno, dice Holden.

Las conversaciones entre miembros de Trickbot que verificó Wired revelan que al menos 2 miembros parecen tener su sede en Bielorrusia.

Después del desmantelamiento de REvil, Trickbot puede convertirse en la principal organización de ciberdelincuencia vinculada a Rusia, según el informe que firmó Matt Burgess.

El círculo interno de Trickbot ha salido relativamente ileso.

El poder del Mal

Después del ataque del Comando Cibernético de USA, Trickbot detuvo temporalmente el trabajo pero el grupo amplió sus operaciones y evolucionó su malware.

Algunos creen que la base de Trickbot o la oficina de Stern o del otro referente, Target, se encuentra en San Petersburgo.

Las estimaciones actuales dicen que Trickbot tiene entre 100 y 400 miembros, lo que lo convierte en uno de los grupos de ciberdelincuencia más grandes que existen.

Según las comunicaciones interceptadas, Trickbot tiene áreas de capacitación, gerentes sénior, estructura empresarial, un gerente que supervisa el trabajo de desarrollo, un grupo de codificadores para I+D -trabajan bajo su mando en proyectos específicos de nuevos scripts o malware- y un tal 'Professor' o 'Alter' supervisa el trabajo de implementación del ransomware, además de solicitar el desarrollo de herramientas específicas y parece liderar varios subequipos o varios líderes de equipo le reportan.

Los trabajadores de nivel inferior no hablan con sus colegas superiores. Las conversaciones internas del grupo tienen lugar a través de mensajes instantáneos en los servidores de Jabber.

En las conversaciones vistas por Wired, 'Target' dice que Trickbot "aprenderá a colaborar" con quienes están detrás del ransomware Ryuk, lo que indica que son 2 organizaciones separadas.

En un conjunto de conversaciones internas, Target responde preguntas de un miembro del grupo que está preocupado por ser atrapado. La persona está preocupada de que sus colegas puedan exponer sus ubicaciones, filtrando sus direcciones IP, cuando no usan una VPN para enmascarar su paradero. 'Target' le dice que la exposición de la dirección IP no debería ser un problema: "Aquí está garantizado que nadie te tocará".

Dicen que Trickbot usa múltiples capas durante su proceso de contratación en un esfuerzo por eliminar a quienes no tienen las habilidades técnicas necesarias, y también a las empresas de ciberseguridad que intentan recopilar inteligencia.

Las preguntas que realizan son tecnológicamente muy complejas.

S los probadores de penetración que trabajan para el grupo se les puede pagar US$ 1.500 por mes + un bono sobre los rescates que pagan las víctimas.

Abunda la preocupación a escala global.