Security Lab

Trickbot

Trickbot — это многофункциональный вредоносный ботнет, изначально разработанный как банковский троян. Он впервые был зафиксирован в 2016 году и со временем эволюционировал в универсальный инструмент киберпреступников, использующийся для кражи учетных данных, распространения других вредоносных программ (например, Ryuk или Conti) и проведения сетевой разведки.

Trickbot способен:

  • похищать данные браузеров, cookies и автозаполнений;
  • внедряться в корпоративные сети и распространяться внутри них;
  • загружать дополнительные модули и обновляться удалённо;
  • использовать эксплойты и инструменты постэксплуатации (например, Mimikatz).

Trickbot часто применяется в многоэтапных атаках на организации и является частью инфраструктуры преступных группировок, занимающихся вымогательским ПО.

На Украине задержаны лидеры вымогательской банды, державшие в страхе сотни мировых корпораций

Сотни жертв в десятках стран и убытки на миллионы евро. Теперь хакеры ответят за свои преступления.

Роутеры MikroTik становятся новой мишенью хакеров: взлому подвержены до 900 тысяч устройств

Такие крупные компании, как Siemens, Ericsson и даже NASA — могут быть атакованы благодаря уязвимости повышения привилегий.

Посол Антонов опроверг обвинения США в том, что Россия не борется с киберпреступностью

Антонов назвал лживыми версии США о том, что Россия является "тихой гаванью" для хакеров

Эксперты Trellix: кампания BazarCall использует новую тактику обмана

Теперь злоумышленники забирают у жертвы не только компьютер, но и деньги.

Группировка TrickBot терроризирует Украину

С момента начала спецоперации было зафиксировано по меньшей мере 6 вредоносных кампаний, нацеленных на украинские организации.

Исследователи выступили против удаления Microsoft PowerShell

Специалисты удаляют PowerShell из-за частых атак киберпреступников

Microsoft выпустила сканер для выявления взломанных Trickbot устройств MikroTik

Хакеры взламывают устройства MikroTik для усиления связи Trickbot с его C&C-серверами.

Группировка TrickBot отключила свою инфраструктуру

После перехода под крыло Conti операторы ботнета стали работать над совершенствованием модуля BazaarBackdoor.

Вымогательская группировка Conti стала новым руководителем вредоноса TrickBot

Conti удалось привлечь «нескольких элитных разработчиков и менеджеров» TrickBot, превратив операцию в свою дочернюю компанию.

TrickBot вызывает сбой в работе браузеров ИБ-экспертов

TrickBot способен определять, подвергается ли он анализу со стороны ИБ-эксперта.

ФБР связало вымогатель Diavol с группировкой TrickBot

Для шифрования Diavol использует асинхронный вызов процедур с ассиметричным алгоритмом шифрования.

Microsoft исправила уязвимость 0-day в рамках «вторника исправлений»

Уязвимость используется для распространения вредоносного ПО Emotet, TrickBot и BazaLoader.

После долгого отсутствия ботнет Emotet снова начал проявлять признаки жизни

В настоящее время уже 246 устройств используется новым ботнетом Emotet в качестве CC-серверов.

Операторы Trickbot расширяют каналы распространения вредоносного ПО

Группировка сотрудничает с другими киберпреступниками, что способствует увеличению числа вредоносных кампаний.

Участник группировки TrickBot арестован в Южной Корее

Подозреваемый застрял в Южной Корее на 1,5 года из-за пандемии COVID-19.

Обнаружены новые свидетельства связи вымогателя Diavol с группировкой TrickBot

Сходство между Diavol и TrickBot заключается в том, что HTTP-заголовки для C&C-сервера настроены на русскоязычный контент.

TrickBot вернулся с новым модулем для слежки за пользователями

Несмотря на попытки отключить инфраструктуру ботнета TrickBot, нет никаких признаков того, что вредонос скоро исчезнет.

Гражданка Латвии арестована в США за киберпреступления

Алла Витте обвиняется в участии в группировке, несущей ответственность за разработку вымогателя Trickbot и совершившей целый ряд преступлений в киберсфере.

Злоумышленники распространяют BazarLoader через поддельный стриминговый сервис

В рамках кампании BazaFlix преступники заражают системы вредоносом, используемым группировкой TrickBot.

Новый модуль TrickBot способен искать уязвимости в UEFI

С доступом к прошивке UEFI злоумышленник может установить персистентность на системе, чтобы защититься от переустановки ОС.