Botnet khét tiếng TrickBot dừng hoạt động, chuyển hướng sang dạng mã độc khác có thể nguy hiểm hơn

TrickBot, một trong những mạng botnet hoạt động tích cực nhất, đồng thời gây thiệt hại nghiêm trọng nhất từng được ghi nhận trên toàn thế giới, đã ngừng hoạt động sau khi các nhà phát triển chủ chốt chuyển sang băng đảng ransomware Conti. Đây được cho là động thái cần thiết để chúng tập trung phát triển vào các họ phần mềm độc hại lén lút BazarBackdoor và Anchor cũng cực kỳ nguy hiểm.

TrickBot là một phần mềm độc hại khét tiếng trên Windows. Kể từ khi được phát hiện đầu tiên vào năm 2016, mã độc này luôn nắm giữ một vị trí vững chắc trong danh sách những chủng mã độc nguy hiểm và gây thiệt hại lớn nhất. Phương pháp lây lan chính của TrickBot là qua email lừa đảo, độc hại hoặc phần mềm khác. Do đó, đối tượng bị ảnh hưởng nhiều nhất bởi mã độc này thường là các tổ chức, doanh nghiệp.

Trickbot không phải là một phần mềm độc hại đơn giản có thể được phát hiện bởi bất kỳ phần mềm chống virus miễn phí nào. Nó nguy hiểm ở chỗ liên tục phát triển và ẩn mình hiệu quả trong thiết bị bị lây nhiễm.

Sau khi lây lan và âm thầm chạy trên máy tính của nạn nhân, mã độc sẽ tự tải xuống các mô-đun khác nhau để tiến hành đánh cắp dữ liệu và những hành vi xấu. TrickBot thường được phát tán qua các email spam có chứa đường link hoặc tập tin độc hại. Khi được cài đặt, mã độc này sẽ bí mật chạy trên máy tính của nạn nhân, tự tải xuống các thành phần khác để phục vụ những mục đích xấu khác nhau.

Các mô-đun này giúp mã độc thực hiện một loạt các hoạt động độc hại, bao gồm đánh cắp cơ sở dữ liệu Active Directory Services của miền, phát tán theo chiều ngang trên mạng, khóa màn hình, đánh cắp cookie và mật khẩu trình duyệt, cũng như đánh cắp khóa OpenSSH.

TrickBot cũng có mối liên hệ lâu dài với các hoạt động ransomware. Vào năm 2019, TrickBot Group đã hợp tác với băng đảng ransomware Ryuk để cung cấp quyền truy cập ban đầu cho loại mã độc tống tiền này vào các hệ thống mạng. Năm 2020, nhóm ransomware Conti, được cho là thương hiệu mới của Ryuk, cũng hợp tác với TrickBot cho mục đích tương tự.

Bất chấp nhiều nỗ lực của các cơ quan thực thi pháp luật toàn cầu, TrickBot đã xây dựng lại thành công mạng botnet của mình và tiếp tục khủng bố người dùng Windows.

Năm 2021, TrickBot đã cố gắng khởi động hoạt động ransomware của riêng mình với tên gọi Diavol, nhưng ko thành công như mong đợi. Đây có thể là một lý do quan trọng khiến đội ngũ vận hành đưa ra quyết định chuyển đổi mô hình hoạt động.

TrickBot dừng hoạt động

Trong năm qua, Conti đã trở thành một trong những hoạt động ransomware linh hoạt và sinh lợi cao nhất, chịu trách nhiệm cho nhiều cuộc tấn công vào các nạn nhân nổi tiếng và kiếm được hàng trăm triệu đô la tiền chuộc.

TrickBot chủ yếu được Conti sử dụng, băng đảng ransomware đã từ từ nắm quyền kiểm soát hoạt động của mạng botnet. Tuy nhiên, Conti đã không tuyển dụng những "nhà phát triển và quản lý ưu tú" này để tiếp quản TrickBot, mà là để làm việc trên các chủng phần mềm độc hại BazarBackdoor và Anchor với khả năng ẩn mình thậm chí còn tốt hơn.

Theo nhận định của giới chuyên gia, chuyển biến này là tất yếu do TrickBot hiện đã quá dễ dàng bị phát hiện bởi các phần mềm bảo mật phổ biến. TrickBot Group hiện đã đóng tất cả cơ sở hạ tầng cho hoạt động của phần mềm độc hại này.

Nhìn chung, việc TrickBot dừng hoạt động không mang đến quá nhiều ý nghĩa ở khía cạnh an ninh mạng, bởi những kẻ vật hành nó về bản chất chỉ là chuyển sang phát triển một chủng mã độc khác nguy hiểm hơn.

BazarBackdoor đã tăng cường phân phối qua email trong 6 tháng qua, nhưng với việc TrickBot ngừng hoạt động, chúng ta có thể sẽ thấy nó trở nên phổ biến hơn trong các vụ vi phạm nhắm vào hệ thống mạng của các tổ chức, doanh nghiệp toàn cầu.