Trickbot chuyển hướng sang dạng mã độc phức tạp hơn sau khi được cho là dừng hoạt động

www.tuoitre.vn -   24/02/2022 12:00:00 1065

TrickBot, một trong những mạng botnet hoạt động tích cực nhất, đồng thời gây thiệt hại nghiêm trọng nhất từng được ghi nhận trên toàn thế giới, đã ngừng hoạt động sau khi các nhà phát triển chủ chốt chuyển sang băng đảng ransomware Conti. Đây được cho là động thái cần thiết để chúng tập trung phát triển vào các họ phần mềm độc hại lén lút BazarBackdoor và Anchor cũng cực kỳ nguy hiểm.

Trickbot chuyển hướng sang dạng mã độc phức tạp hơn sau khi được cho là dừng hoạt động

TrickBot là một phần mềm độc hại khét tiếng trên Windows. Kể từ khi được phát hiện đầu tiên vào năm 2016, mã độc này luôn nắm giữ một vị trí vững chắc trong danh sách những chủng mã độc nguy hiểm và gây thiệt hại lớn nhất. Phương pháp lây lan chính của TrickBot là qua email lừa đảo, độc hại hoặc phần mềm khác. Do đó, đối tượng bị ảnh hưởng nhiều nhất bởi mã độc này thường là các tổ chức, doanh nghiệp.

Trickbot không phải là một phần mềm độc hại đơn giản có thể được phát hiện bởi bất kỳ phần mềm chống virus miễn phí nào. Nó nguy hiểm ở chỗ liên tục phát triển và ẩn mình hiệu quả trong thiết bị bị lây nhiễm.

Sau khi lây lan và âm thầm chạy trên máy tính của nạn nhân, mã độc sẽ tự tải xuống các mô-đun khác nhau để tiến hành đánh cắp dữ liệu và những hành vi xấu. TrickBot thường được phát tán qua các email spam có chứa đường link hoặc tập tin độc hại. Khi được cài đặt, mã độc này sẽ bí mật chạy trên máy tính của nạn nhân, tự tải xuống các thành phần khác để phục vụ những mục đích xấu khác nhau.

Các mô-đun này giúp mã độc thực hiện một loạt các hoạt động độc hại, bao gồm đánh cắp cơ sở dữ liệu Active Directory Services của miền, phát tán theo chiều ngang trên mạng, khóa màn hình, đánh cắp cookie và mật khẩu trình duyệt, cũng như đánh cắp khóa OpenSSH.

Trickbot chuyển hướng sang dạng mã độc phức tạp hơn sau khi được cho là dừng hoạt động

TrickBot cũng có mối liên hệ lâu dài với các hoạt động ransomware. Vào năm 2019, TrickBot Group đã hợp tác với băng đảng ransomware Ryuk để cung cấp quyền truy cập ban đầu cho loại mã độc tống tiền này vào các hệ thống mạng. Năm 2020, nhóm ransomware Conti, được cho là thương hiệu mới của Ryuk, cũng hợp tác với TrickBot cho mục đích tương tự.

Bất chấp nhiều nỗ lực của các cơ quan thực thi pháp luật toàn cầu, TrickBot đã xây dựng lại thành công mạng botnet của mình và tiếp tục khủng bố người dùng Windows.

Năm 2021, TrickBot đã cố gắng khởi động hoạt động ransomware của riêng mình với tên gọi Diavol, nhưng ko thành công như mong đợi. Đây có thể là một lý do quan trọng khiến đội ngũ vận hành đưa ra quyết định chuyển đổi mô hình hoạt động.

TrickBot dừng hoạt động

Trong năm qua, Conti đã trở thành một trong những hoạt động ransomware linh hoạt và sinh lợi cao nhất, chịu trách nhiệm cho nhiều cuộc tấn công vào các nạn nhân nổi tiếng và kiếm được hàng trăm triệu đô la tiền chuộc.

TrickBot chủ yếu được Conti sử dụng, băng đảng ransomware đã từ từ nắm quyền kiểm soát hoạt động của mạng botnet. Tuy nhiên, Conti đã không tuyển dụng những "nhà phát triển và quản lý ưu tú" này để tiếp quản TrickBot, mà là để làm việc trên các chủng phần mềm độc hại BazarBackdoor và Anchor với khả năng ẩn mình thậm chí còn tốt hơn.

Theo nhận định của giới chuyên gia, chuyển biến này là tất yếu do TrickBot hiện đã quá dễ dàng bị phát hiện bởi các phần mềm bảo mật phổ biến. TrickBot Group hiện đã đóng tất cả cơ sở hạ tầng cho hoạt động của phần mềm độc hại này.

Nhìn chung, việc TrickBot dừng hoạt động không mang đến quá nhiều ý nghĩa ở khía cạnh an ninh mạng, bởi những kẻ vật hành nó về bản chất chỉ là chuyển sang phát triển một chủng mã độc khác nguy hiểm hơn.

BazarBackdoor đã tăng cường phân phối qua email trong 6 tháng qua, nhưng với việc TrickBot ngừng hoạt động, chúng ta có thể sẽ thấy nó trở nên phổ biến hơn trong các vụ vi phạm nhắm vào hệ thống mạng của các tổ chức, doanh nghiệp toàn cầu.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 149
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 69
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 219
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 214
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 140
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ