TrickBot, die berüchtigte Windows Crimeware-as-a-Service (CaaS)-Lösung, die von einer Vielzahl von Bedrohungsakteuren genutzt wird, um Ransomware zu verbreiten, scheint sich in einer Art Übergangsphase zu befinden, da seit Anfang des Jahres keine neuen Aktivitäten verzeichnet wurden.
Die Flaute bei den Malware-Kampagnen ist „teilweise auf eine große Veränderung bei den Betreibern von Trickbot zurückzuführen, einschließlich der Zusammenarbeit mit den Betreibern von Emotet“, so die Forscher von Intel 471 in einem Bericht an The Hacker News.
Die letzten Angriffe, an denen Trickbot beteiligt war, wurden am 28. Dezember 2021 registriert, obwohl die mit der Malware verbundene Command-and-Control (C2)-Infrastruktur weiterhin zusätzliche Plugins und Webinjects an die infizierten Knoten im Botnetz lieferte.
Interessanterweise ging der Rückgang der Kampagnen auch damit einher, dass die TrickBot-Bande eng mit den Betreibern von Emotet zusammenarbeitete, das Ende letzten Jahres nach einer zehnmonatigen Pause aufgrund der Bemühungen der Strafverfolgungsbehörden, die Malware zu bekämpfen, ein Wiederaufleben erlebte.
Die Angriffe, die erstmals im November 2021 beobachtet wurden, wiesen eine Infektionssequenz auf, bei der TrickBot als Kanal für den Download und die Ausführung von Emotet-Binärdateien genutzt wurde, während Emotet vor der Zerschlagung häufig zum Ablegen von TrickBot-Samples verwendet wurde.
„Es ist wahrscheinlich, dass die TrickBot-Betreiber die TrickBot-Malware zugunsten anderer Plattformen, wie Emotet, aus dem Verkehr gezogen haben“, so die Forscher. „TrickBot ist schließlich eine relativ alte Malware, die nicht mehr großartig aktualisiert wurde.
Außerdem beobachtete Intel 471, dass TrickBot kurz nach der Rückkehr von Emotet im November 2021 Qbot-Installationen auf die kompromittierten Systeme schob, was wiederum die Möglichkeit einer Umstrukturierung hinter den Kulissen zugunsten anderer Plattformen nahelegt.
Da TrickBot im Jahr 2021 zunehmend ins Visier der Strafverfolgungsbehörden gerät, ist es vielleicht nicht allzu überraschend, dass der dahinter stehende Bedrohungsakteur aktiv versucht, seine Taktik zu ändern und seine Verteidigungsmaßnahmen zu aktualisieren.
Einem separaten Bericht zufolge, der letzte Woche von Advanced Intelligence (AdvIntel) veröffentlicht wurde, soll das Conti-Ransomware-Kartell mehrere Elite-Entwickler von TrickBot angeheuert haben, um die Malware zugunsten verbesserter Tools wie BazarBackdoor in den Ruhestand zu schicken.
„Vielleicht hat eine Kombination aus unerwünschter Aufmerksamkeit für TrickBot und der Verfügbarkeit neuerer, verbesserter Malware-Plattformen die Betreiber von TrickBot davon überzeugt, es aufzugeben“, so die Forscher. „Wir vermuten, dass die Malware-Kontrollinfrastruktur (C2) beibehalten wird, weil die verbleibenden Bots noch einen gewissen Geldwert haben.