A gangue TrickBot agora é um fornecedor de malware norte-coreano para hackers

Um relatório divulgado hoje revela que as unidades de hackers suportadas pelo governo norte-coreano concedem acesso a ferramentas de hackers de elite e acesso a redes invadidas por operadores de botnet TrickBot.

A revelação confirma uma tendência que foi observada nos últimos anos – ou seja, as linhas entre crimes cibernéticos regulares e operações espiões do governo em nível nacional são obscuras. Essa tendência veio à tona em 2017, quando um relatório revelou como o cérebro por trás do malware GameOver Zeus ajudou a inteligência russa a coletar documentos sensíveis de computadores infectados.

Mas Bogatchev não era um caso isolado. Na semana passada, os Estados Unidos prenderam o administrador do software de malware de botnet Dridex, acusando-o de fazer o mesmo – por colaborar com o serviço de inteligência estatal da Rússia na busca de dados confidenciais.

Esses dois casos mostram contato direto entre os criadores do malware popular e a coleta de informações em um país.

malware

De fato, essas linhas são borradas em um nível muito mais baixo. Durante anos, vimos grupos nacionais de hackers adotarem produtos maliciosos. Em vez de desenvolver suas próprias ferramentas, as agências governamentais optam por comprar malware que já está disponível para venda online.

Isso os ajuda a esconder negócios “direcionados”, cometidos por hackers com incentivos financeiros.

Em um relatório divulgado hoje pelo SentinelOne sobre segurança cibernética, descobrimos um novo vínculo entre um grupo de apoio apoiado pelo estado (grupo Lazarus da Coréia do Norte) e o TrickBot.

De acordo com a equipe do SentinelOne, o grupo Lazarus recentemente se tornou um cliente da turma TrickBot, da qual concede acesso a sistemas já infectados, juntamente com um novo tipo de estrutura de ataque que os pesquisadores chamam de Anchor. O SentinelOne descreve o Anchor como “um kit de ferramentas” combinado com um novo malware. O malware âncora é fornecido como uma unidade TrickBot.

O TrickBot é um dos três principais malwares das redes de bots atualmente, juntamente com o Emotet e o Dridex. Esta é uma rede gigante de computadores infectados com o TrojanBot Trojan. No entanto, o TrickBot também é um negócio de cibercrime como serviço. O TrickBot está alugando o acesso a computadores infectados pelo TrickBot para outras gangues de malware.

Essas gangues variam de operadores de ransomware a spammers, scammers e muito mais. Os inquilinos podem usar o Trojan TrickBot para instalar seu próprio malware ou uma das unidades TrickBot disponíveis, dependendo das funções que desejam executar nos hosts infectados.

Em relatórios divulgados hoje pela Cybereason e SentinelOne, as duas empresas dizem que o Anchor é uma nova unidade TrickBot criada para um mercado específico, especialmente para hackers que desejam permanecer sem serem detectados nos sistemas que infectam.

O TrickBot é uma ferramenta usada em ataques a grandes empresas, onde os hackers devem permanecer detectáveis ​​por semanas ou meses – enquanto roubam dados – e até muito tempo após a invasão.

O SentinelOne descreve o Anchor como “uma estrutura de ataque tudo-em-um projetada para atacar ambientes de negócios”. Consiste em diferentes moduladores que fornecem os vários recursos necessários para ataques direcionados, mas não são úteis para outros clientes do TrickBot.

À primeira vista, o Anchor parece uma ferramenta que a equipe do TrickBot desenvolveu para grupos de hackers interessados ​​em espionagem financeira ou para executivos de malware de PDV.

O SentinelOne diz que vincula os ataques do grupo Lazarus da Coréia do Norte ao TrickBot e à nova estrutura de ataque do Anchor.

Em um relatório divulgado hoje, o SentinelOne disse que encontrou um caso em que o grupo Lazarus parece ter concedido acesso a um sistema infectado via botnet TrickBot e, em seguida, usou a estrutura Attack Anchor (Module TrickBot) para instalar o PowerRatankba, um backdoor PowerShell de uma empresa invadida.

O SentinelOne não detalhou o que o Lazarus Group fez na rede de hackers, mas o hacker norte-coreano é conhecido por seus ataques cibernéticos motivados. No entanto, o hacker norte-coreano não foi o único cliente da Anchor.

A Cybereason não viu o grupo Lazarus usar o Anchor, mas viu “uma nova onda de campanhas direcionadas contra negócios financeiros, de construção e varejo que começaram no início de outubro”, onde o Anchor era usado.

“Diferente dos ataques anteriores do Trickbot que resultaram em infecção em massa por ransomware, essa nova onda de ataques se concentra em roubar informações confidenciais dos sistemas POS (ponto de venda) e outros recursos confidenciais nas redes das vítimas” disse a equipe de Cybereason.

“Esses ataques ressaltam ainda mais o risco de infecções malignas que às vezes podem ser subestimadas devido à sua condição comum e grande volume”, acrescentaram os pesquisadores.

“É importante lembrar que, quando um endpoint é infectado por malware, cabe aos invasores decidir se devem continuar”.