Conti が TrickBot を買収:高ステルス性のマルウェア BazarBackdor へと移行か?

Conti ransomware gang takes over TrickBot malware operation

2022/02/18 BleepingComputer — TrickBot は、4年間にわたって活動を続け、何度もテイクダウンを経験してきたが、そのトップ・メンバーたちはランサムウェア・シンジケート Conti の傘下へと移動し、よりステルス性の高いマルウェア BazarBackdoor への置き換えを計画しているようだ。したがって、TrickBot の名前は消えていくと予測される。TrickBot は、機密情報やパスワードの窃取/Windows ドメインへの侵入/ネットワークへの初期アクセス確立/マルウェア配信などの、多様な悪意のアクティビティのために、複数のモジュールを使用する Windows マルウェアのプラットフォームである。

TrickBot は、2016年以降のマルウェアの脅威を支配し、ランサムウェア・ギャングと提携して、世界中の数百万台のデバイスに大惨事をもたらしてきた。Ryuk ランサムウェアも当初は、初期アクセスのために TrickBot と提携していだが、この1年の間に、企業ネットワークへのアクセスに TrickBot を活用してきた Conti に取って代わられた。TrickBot のキャンペーンを行っているグループは、Overdose という名前で知られるエリート部門であり、その活動から少なくとも $200 million の利益を得ていると推定されている。

TrickBot の運営を引き継いだ Conti

サイバー犯罪や敵対的破壊行為に対抗する AdvIntel の研究者たちは、TrickBot による高品質なネットワーク・アクセスの供給を受ける受益者が、2021年には Conti だけになっていることに気づいた。この時点で、TrickBot のコア開発者チームは、よりステルス性の高いマルウェア BazarBackdoor を既に作成しており、魅力的な企業ネットワークへのリモート・アクセスに使用され、そこからランサムウェアが展開されていた。

TrickBot のトロイの木馬が、ウイルス対策ベンダーにより簡単に検出されるようになったことで、脅威アクターたちはネットワークへの初期アクセスを、BazarBackdoor に切り替えるようになった。それは、価値の高いターゲットを、密かに侵害するために特別に開発されたマルウェアである。

さらに Conti は、2021年末までに TrickBot ボットネットのエリート開発者/管理者たちを集めることに成功し、TrickBot ボットネットをパートナーではなく子会社にしてしたと、AdvIntel は BleepingComputer と共有したレポートの中で指摘している。

AdvIntel は、研究者たちがアクセスした Conti 内部の会話に基づき、BazarBackdoor が TrickBot ツールキットの一部から、Conti が開発をコントロールする独立したツールになったと述べている。Conti グループのメイン管理者は、TrickBot を引き継いだと述べているようだ。そして、Conti を TrickBot から BazarBackdoor へと移行し、初期アクセスを得るための主要な手段としている。

AdvIntel は、「Conti に買収された後の、TrickBot のリーダーたちは、安全な地面の下で確かな見通しを持っているようだ。Conti は常に、利用可能な人材を活用する方法を見つけるだろう」と述べている。

Conti は、設立以来、行動規範を守り続けたことで、競合するランサムウェア・ギャングが法執行機関の取り締まりを受けても動じることなく、最も回復力があり、収益性の高いランサムウェア・グループの1つとして成長してきた。AdvIntel によると、このグループは攻撃対象となる組織を厳選し、法執行機関からの処分を受ける無作為な関連会社と協力するのではなく、信頼ベース/チームベースのモデルを採用することで、サイバー犯罪ビジネスを円滑に行ってきたとのことだ。

今後、TrickBot を検出するケースは少なくなると思われるが、AdvIntel の最新の調査結果によると、TrickBot の活動は終了しておらず、新たなコントロール・グループに移行して、高額なターゲットに適したマルウェアを使って、次のレベルに進んでいることが判明している。

2月13日の「2021年のランサムウェア総被害額は $602 M:トップの Conti は $180 M も稼いだらしい」にあるように、Conti は 2021年の稼ぎ頭です。また、2021年12月10日の「Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している」や、「Trickbot の巧妙なインジェクション手法:防御側の検出と分析を困難にする」にあるように、TrickBot も実績のあるマルウェアです。そして、BazarBackdoor ですが、2021年9月30日の「JVCKenwood を Conti ランサムウェアが攻撃:1.5TB のデータと7億円の身代金」と、1月20日の「Diavol ランサムウェアは TrickBot ギャングと関連している:FBI が正式に発表」で、少しだけ触れられています。

%d bloggers like this: