Die Betreiber des TrickBot-Trojaners arbeiten mit der Shathak Threat Group zusammen, um ihre Software zu verbreiten, was letztlich dazu führt, dass die Conti-Ransomware auf infizierten Computern eingesetzt wird.
In einem Bericht, der die jüngsten Malware-Verteilungskampagnen der Organisation analysiert, erklären die Cybereason-Sicherheitsanalysten Aleksandar Milenkoski und Eli Salem: "Die Implementierung von TrickBotin den letzten vielen Jahrenhat sich weiterentwickelt, wobei die neueste Version von TrickBot die Möglichkeit bietet, Malware zu laden." "TrickBot hat eine wichtige Rolle in vielen Angriffskampagnen gespielt, die von verschiedenen Bedrohungsakteuren durchgeführt wurden, von gewöhnlichen Cyberkriminellen bis hin zu nationalstaatlichen Akteuren.
Der jüngste Bericht baut auf einem IBM X-Force-Bericht vom letzten Monat auf, der die Partnerschaften von TrickBot mit anderen Cyberkriminellen aufdeckte, um eigene Malware zu verbreiten, darunter Shathak, der auch unter dem Namen TA551 geführt wird und ein ausgeklügelter Cyberkrimineller ist, der es auf Endnutzer weltweit abgesehen hat. Shathak wird auch unter dem Namen TA551 geführt, einem ausgeklügelten Cyberkriminellen, der es weltweit auf Endanwender abgesehen hat und als Malware-Verteiler fungiert, indem er passwortgeschützte ZIP-Archive mit makroaktivierten Office-Dokumenten verwendet.
Die TrickBot-Gruppe, die auch als ITG23 oder Wizard Spider bekannt ist, ist für die Entwicklung und Wartung der Conti-Ransomware verantwortlich und vermietet den Zugriff auf die Malware über ein Ransomware-as-a-Service-Modell (RaaS) an Partner.
Die Infektionskette mit Shathak umfasst in der Regel das Versenden von Phishing-E-Mails, in die mit Malware verseuchte Word-Dokumente eingebettet sind, was letztlich zur Verbreitung von TrickBot- oder BazarBackdoor-Malware führt, die dann als Kanal für die Verbreitung von Cobalt Strike-Beacons und Ransomware verwendet wird, jedoch nicht, bevor die Aktivitäten zur Aufklärung, zur seitlichen Verlagerung, zum Diebstahl von Zugangsdaten und zur Kompromittierung von Daten durchgeführt werden. vor der Aufklärung, der seitlichen Bewegung, dem Diebstahl von Zugangsdaten und der Kompromittierung von Daten.
Cybereason-Forscher gaben an, dass sie eine durchschnittliche Zeit bis zur Lösegeldübergabe (TTR) von zwei Tagen nach einem Einbruch beobachteten, d. h. die Zeit zwischen dem ersten Zugriff auf das Netzwerk und dem tatsächlichen Einsatz der Ransomware.
Die Ergebnisse der Umfrage wurden zu einem Zeitpunkt veröffentlicht, zu dem die U.S.Netzwerksicherheitand Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI).BerichterstattungBis September 2021 gab es dem Bericht zufolge nicht weniger als 400 Conti-Ransomware-Angriffe auf US-amerikanische und internationale Organisationen.
Um die Systeme vor der Conti-Ransomware zu schützen, empfehlen die Organisationen die Umsetzung einer Reihe von Schutzmaßnahmen, darunter die Forderung nach einer Multi-Faktor-Authentifizierung (MFA), die Implementierung einer Netzwerksegmentierung und die Aktualisierung von Betriebssystemen und Software".
Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/trickbot-operator-works-with-shathak-attacker-to-develop-conti-blackmail-software. html
