Os especialistas do IBM Security X-Force notaram que desde o início da invasão russa em grande escala, o grupo de hackers TrickBot “ataca sistematicamente” a Ucrânia, o que não foi observado antes.
Acredita-se que de meados de abril a junho 2022, hackers já organizaram pelo menos seis dessas campanhas de phishing.
Deixe-me lembrá-lo que o TruqueBot hackear grupo (também conhecido como ITG23, Ouro Blackburn e Aranha Feiticeira) é considerado um grupo motivado financeiramente, que é conhecido principalmente devido ao desenvolvimento do Trojan bancário TrickBot de mesmo nome. Ao longo dos anos, O TrickBot evoluiu de um banqueiro clássico projetado para roubar fundos de contas bancárias para um conta-gotas multifuncional que espalha outras ameaças (de mineradores e ransomware a ladrões de informações).
Deixe-me também lembrá-lo que escrevemos isso TrickBot causa travamentos nas máquinas quando especialistas em segurança cibernética o estudam.
O relatório observa que, segundo pesquisadores, o grupo recentemente ficou sob o controle de Conti, e operadores Conti expresso pleno acordo com a política das autoridades russas no início da agressão da Rússia contra a Ucrânia.
De acordo com IBM Segurança X-Force, TrickBot voltou recentemente sua atenção para a Ucrânia, e ferramentas como IcedID, Ataque Cobalto, AnchorMail e Meterpreter foram usados em ataques direcionados. Ressalta-se que anteriormente a Ucrânia não interessava aos hackers, e a maior parte do malware do grupo agora está configurado de forma que não seja executado em sistemas onde o idioma ucraniano não é detectado.
O relatório da empresa afirma que o grupo costumava usar a ameaça de um conflito nuclear como isca, distribuindo o arquivo Nuclear.xls malicioso, através do qual o novo AnchorMail o malware já estava se espalhando.
Os pesquisadores também observam o uso por hackers do novo Floresta criptografador, que é usado para evitar a detecção e proteger as cargas CobaltStrike e IcedID. Supõe-se que seu desenvolvedor, distribuidor ou operador pode fazer parte do próprio grupo, ou tenha uma parceria com TrickBot.