TrickBot
Что такое TrickBot?
TrickBotМодульный банковский троян и фреймворк постэксплуатации, управляемый WIZARD SPIDER, проложивший путь вымогателям Ryuk, Conti и Diavol.
TrickBot появился в 2016 году как наследник Dyre и быстро превратился из банковского трояна в универсальный фреймворк постэксплуатации. За ним стоит криминальный кластер WIZARD SPIDER, поставлявший модули для кражи учётных данных, инъекций в браузер, разведки в Active Directory, латерального движения через SMB и SOCKS-прокси. TrickBot был основным загрузчиком для Ryuk, Conti и позже Diavol, а в 2018–2020 годах тесно связан с заражениями Emotet. В октябре 2020 года команда Microsoft Defender и Киберкомандование США нарушили его инфраструктуру; утечки Conti 2022 года показали глубокие связи разработчиков TrickBot с операцией Conti. Позднее на основе кода появился Bumblebee.
● Примеры
- 01
TrickBot собирает учётные данные Domain Admin с ноутбука бухгалтера и отправляет их операторам, разворачивающим Conti.
- 02
Команда реагирования находит модуль pwgrab64 TrickBot в памяти контроллера домена рядом с компонентами Ryuk.
● Частые вопросы
Что такое TrickBot?
Модульный банковский троян и фреймворк постэксплуатации, управляемый WIZARD SPIDER, проложивший путь вымогателям Ryuk, Conti и Diavol. Относится к категории Вредоносное ПО в кибербезопасности.
Что означает TrickBot?
Модульный банковский троян и фреймворк постэксплуатации, управляемый WIZARD SPIDER, проложивший путь вымогателям Ryuk, Conti и Diavol.
Как работает TrickBot?
TrickBot появился в 2016 году как наследник Dyre и быстро превратился из банковского трояна в универсальный фреймворк постэксплуатации. За ним стоит криминальный кластер WIZARD SPIDER, поставлявший модули для кражи учётных данных, инъекций в браузер, разведки в Active Directory, латерального движения через SMB и SOCKS-прокси. TrickBot был основным загрузчиком для Ryuk, Conti и позже Diavol, а в 2018–2020 годах тесно связан с заражениями Emotet. В октябре 2020 года команда Microsoft Defender и Киберкомандование США нарушили его инфраструктуру; утечки Conti 2022 года показали глубокие связи разработчиков TrickBot с операцией Conti. Позднее на основе кода появился Bumblebee.
Как защититься от TrickBot?
Защита от TrickBot обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия TrickBot?
Распространённые альтернативные названия: WIZARD SPIDER, TrickLoader.
● Связанные термины
- malware№ 084
Банковский троян
Вредоносное ПО, разработанное для кражи учётных данных онлайн-банкинга и подтверждения мошеннических операций — обычно через веб-инжекты, перехват форм или оверлеи.
- malware№ 954
Вымогатель Ryuk
Целевое семейство вымогателей, которым с 2018 года управляла WIZARD SPIDER, требовавшая крупные выкупы у предприятий, больниц и муниципалитетов после вторжений через TrickBot.
- malware№ 377
Emotet
Модульный банковский троян, превратившийся в загрузчик malware-as-a-service: доставлял аффилированные вымогатели и был пресечён международными правоохранителями в январе 2021 года.
- malware№ 621
Загрузчик (loader)
Малварь, готовящая среду и подгружающая дальнейшие нагрузки (часто прямо в память) для следующей стадии атаки.