Την περασμένη Πέμπτη, ένας Ρώσος υπήκοος ομολόγησε την ενοχή του για τη συμμετοχή του στην ανάπτυξη και χρήση του γνωστού Trickbot malware. Το κακόβουλο λογισμικό έχει χρησιμοποιηθεί σε επιθέσεις εναντίον νοσοκομείων, εταιρειών και ατόμων στις Ηνωμένες Πολιτείες και άλλες χώρες σε όλο τον κόσμο.

Σύμφωνα με δικαστικά έγγραφα, ένας Ρώσος 40 ετών, γνωστός και ως FFX, επέβλεψε την ανάπτυξη του browser injection component του TrickBot, ως malware developer.

Η συμμετοχή του Ρώσου στην ομάδα πίσω από το TrickBot malware φέρεται να ξεκίνησε τον Ιούνιο του 2016. Η ομάδα προσέλαβε τον hacker ως προγραμματιστή, μετά από ένα recruitment test που του ζητούσε να δημιουργήσει μια εφαρμογή που προσομοιώνει έναν SOCKS server και να αλλάξει το πρόγραμμα περιήγησης Firefox.

Δείτε επίσης: Νέο proxy trojan malware στοχεύει χρήστες Mac

Τον Σεπτέμβριο του 2021, συνελήφθη στη Νότια Κορέα ενώ προσπαθούσε να φύγει από τη χώρα. Λόγω των ταξιδιωτικών περιορισμών του COVID-19 και ενός ληγμένου διαβατηρίου, αναγκάστηκε να παραμείνει στη Νότια Κορέα. Η διαδικασία έκδοσης ολοκληρώθηκε στις 20 Οκτωβρίου 2021.

Ο Vladimir Dunaev έκανε κατάχρηση των ειδικών του δεξιοτήτων ως προγραμματιστής υπολογιστών για να αναπτύξει τη σουίτα κακόβουλου λογισμικού Trickbot“, δήλωσε η εισαγγελέας των ΗΠΑ Rebecca C. Lutzko.

Ο Dunaev και οι συνάδελφοί του κρύφτηκαν πίσω από τα πληκτρολόγιά τους, πρώτα για να δημιουργήσουν το Trickbot και μετά για να το χρησιμοποιήσουν και να μολύνουν εκατομμύρια υπολογιστές σε όλο τον κόσμο – συμπεριλαμβανομένων αυτών που χρησιμοποιούνται από νοσοκομεία, σχολεία και επιχειρήσεις – εισβάλλοντας στην ιδιωτική ζωή και προκαλώντας ανείπωτη αναστάτωση και οικονομική ζημιά“.

Το TrickBot malware έχει χρησιμοποιηθεί για την κλοπή σημαντικών δεδομένων (συμπεριλαμβανομένων credentials, πιστωτικών καρτών, email, κωδικών πρόσβασης, ημερομηνιών γέννησης, SSN και διευθύνσεων), αλλά και την κλοπή χρημάτων από τους τραπεζικούς λογαριασμούς των θυμάτων τους.

Δείτε επίσης: FjordPhantom: Το Android malware χρησιμοποιεί εικονικοποίηση για να αποφύγει την ανίχνευση

Ο Ρώσος hacker ομολόγησε την ενοχή του μετά τις κατηγορίες για απάτη υπολογιστών και κλοπή ταυτότητας. Η ποινή του θα οριστεί στις 20 Μαρτίου 2024. Για τα αδικήματά του μπορεί να λάβει ποινή φυλάκισης 35 ετών.

Σύμφωνα με τις αρχικές κατηγορίες, ο Dunaev και οκτώ συν-κατηγορούμενοι εμπλέκονταν στην ανάπτυξη, διαχείριση και χρήση του Trickbot για την απόκτηση κέρδους.

Ο Dunaev είναι ο δεύτερος προγραμματιστής της συμμορίας TrickBot που συνελήφθη από το Υπουργείο Δικαιοσύνης των ΗΠΑ. Τον Φεβρουάριο του 2021, ο Λετονός υπήκοος Alla Witte

(γνωστός και ως Max) συνελήφθη και κατηγορήθηκε ότι βοήθησε στη σύνταξη του κώδικα.

Τον Φεβρουάριο και τον Σεπτέμβριο, οι Ηνωμένες Πολιτείες και το Ηνωμένο Βασίλειο επέβαλαν κυρώσεις σε συνολικά 18 Ρώσους υπηκόους που συνδέονται με τις συμμορίες TrickBot και Conti. Επίσης, προειδοποίησαν ότι ορισμένα μέλη της ομάδας Trickbot συνδέονται με ρωσικές υπηρεσίες πληροφοριών.

TrickBot malware

To TrickBot malware χρησιμοποιήθηκε αρχικά για την κλοπή τραπεζικών credentials και σταδιακά εξελίχθηκε σε ένα modular εργαλείο, που αξιοποιήθηκε από ransomware συμμορίες όπως η Ryuk και η Conti για αρχική πρόσβαση σε παραβιασμένα εταιρικά δίκτυα.

Το TrickBot malware έφτανε στις συσκευές των θυμάτων κυρίως μέσω κακόβουλων ηλεκτρονικών μηνυμάτων, γνωστών και ως phishing emails. Οι επιτιθέμενοι εμφανίζονταν ως αξιόπιστες εταιρείες ή οργανισμοί και παρακινούσαν τους χρήστες να ανοίξουν τα συνημμένα αρχεία ή να κάνουν κλικ σε κακόβουλους συνδέσμους. Μόλις ο χρήστης άνοιγε το συνημμένο ή έκανε κλικ στον σύνδεσμο, το TrickBot malware εγκαθίσταταντο στο σύστημα του.

Δείτε επίσης: Τεχνητή νοημοσύνη (AI ): Εξαιρετικά αποτελεσματική στην ανάλυση malware

Ένα άλλο μέσο μετάδοσης του TrickBot malware ήταν οι κακόβουλες ιστοσελίδες. Οι κακόβουλοι διαχειριστές ιστοσελίδων χρησιμοποιούσαν τεχνικές όπως το drive-by download για να εγκαταστήσουν αυτόματα το malware στους επισκέπτες της ιστοσελίδας.

Επιπλέον, το TrickBot malware μπορούσε να διαδοθεί μέσω της εκμετάλλευσης ευπαθειών σε λογισμικό.

Μετά από αρκετές απόπειρες κατάργησης, η συμμορία Conti απέκτησε τον έλεγχο του TrickBot, αξιοποιώντας το για να αναπτύξει πιο εξελιγμένα και στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένων των Anchor και BazarBackdoor.

Ωστόσο, μετά την εισβολή της Ρωσίας στην Ουκρανία, ένας Ουκρανός ερευνητής διέρρευσε τις εσωτερικές επικοινωνίες των μελών της ομάδας Conti.

Λίγο αργότερα, κάποιος που χρησιμοποιούσε το ψευδώνυμο TrickLeaks άρχισε να διαρρέει λεπτομέρειες σχετικά με τη λειτουργία του TrickBot, περιγράφοντας περαιτέρω τους δεσμούς της με τη συμμορία Conti. Τελικά, αυτές οι διαρροές οδήγησαν στον τερματισμό της λειτουργίας ransomware Conti.

Πηγή: www.bleepingcomputer.com