Pesquisa: Raman Ladutska, Aliaksandr Trafimchuk, David Driker, Yali Magiel

Visão geral

Trickbot e Emotet são considerados alguns dos maiores botnets da história. Ambos compartilham uma história semelhante: foram derrubados e fizeram um retorno. A Check Point Research (CPR) observou como atividades de Trickbot após a operação de retirada e notou recentemente que começou a espalhar amostras de Emotet – o que foi intrigante porque Emotet foi considerado morto nos últimos 10 meses.

Trickbot foi um dos botnets mais massivos em 2020, superado apenas pela Emotet. Em um esforço para derrubar o Trickbot, diferentes fornecedores trabalharam juntos para derrubar 94% dos servidores principais  cruciais para as operações do Trickbot em outubro de 2020. Já se passou 11 meses desde que o Trickbot foi derrubado, mas esta botnet manteve o 1º lugar na lista das famílias de malware mais prevalentes em maio, junho  e  setembro  de  2021. Nos últimos 11 meses, a Check Point Research (CPR) detectou mais de 140.000 vítimas de Trickbot em todo o mundo, envolvendo mais de 200 campanhas e milhares de endereços IP em máquinas comprometidas e dedicadas.

Trickbot é um Trojan botnet e bancário escrito em C++ que pode roubar detalhes financeiros, credenciais de conta e informações pessoalmente identificáveis. Ele pode se espalhar dentro de uma rede e soltar várias cargas. A Trickbot tem utilizado evasão sofisticada da técnica de codificação e, devido à sua flexibilidade e estrutura modular, é uma opção de colaboração atraente para outros ataques de malware.

A Trickbot esteve envolvida em diferentes campanhas de ransomware, como os infames ataques de Ryuk e Conti. O Trickbot está constantemente sendo atualizado com novos recursos, recursos e vetores de distribuição, o que permite que ele seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multiuso. É conhecido desde 2016 e continuar vivendo e evoluindo 5 anos depois, apesar das tentativas mais sérias de interromper a botnet, como a de outubro de 2020.

Recentemente, a CPR notou que as máquinas infectadas trickbot começaram a soltar amostras de Emotet, pela primeira vez desde a queda do Emotet em janeiro de 2021. Esta pesquisa analisá o malware Trickbot, descreverá sua atividade após a queda e explicaá por que Emotet escolheu trickbot quando se trata do renascimento de Emotet. Também mergulhamos nos detalhes técnicos da infecção por Emotet.

História do Trickbot

Trickbot apareceu em 2016 como um sucessor do malware Dyre,  operadores foram presos  pelas autoridades russas. Já havia muitas  semelhanças  de código entre as duas famílias de malware. Desde então, Trickbot tem vivido sua própria vida. Em vez de incorporar toda a funcionalidade dentro do malware, os autores decidiram espalhar-lo por vários módulos que poderiam ser atualizados dinamicamente. Essa decisão resultou em mais  de  20 módulos Trickbot, cada um deles responsável por uma funcionalidade separada: movimento lateral, roubo de credenciais de navegadores, instalação de módulo reverso proxy e assim por diante. Nem todos os módulos foram escritos em C++, alguns foram escritos com Delfos, o que pode ser um sinal de um serviço de desenvolvimento terceirizado usado por autores trickbot.

O dano causado por Trickbot tornou-se um assunto quente no noticiário. Por exemplo, em julho de 2019, um banco de dados foi descoberto com 250 milhões de e-mails  usados pelas operadoras Trickbot em suas campanhas. Os atores trickbot adaptaram-se às mudanças globais e usam problemas prioritários como BLM e COVID-19 para enganar os usuários a abrir e-mails com anexos maliciosos. No auge de sua atividade durante a pandemia COVID-19, um Trickbot alcançou um marco de  240 milhões de mensagens de spam por  dia. Outro meio de se espalhar foi de links para sites maliciosos.

Em 2020, trickbot (juntamente com Emotet) foi usado para entregar ransomware Ryuk  e causou maciço danos. A Universal Health Services informou  que a empresa sofreu perdas  de US$ 67 milhões por causa do ataque de Ryuk. De acordo com as pesquisas, como carteiras cripto usadas para resgate nos ataques de Ryuk foram superadas em US$ 150 milhões.

Havia a evidência de que os atores trickbot uniram seus esforços com APTs. Em dezembro de 2019, o infame grupo norte-coreano Lazarus foi visto usando a estrutura de ataque  chamada  Projeto Âncora. Projeto âncora é um módulo backdoor usado pelo Trickbot que é implantado apenas para vítimas de alto perfil selecionados.

A participação constante do Trickbot em ataques de alto perfil que causaram grandes danos levou a um esforço sem precedentes de grandes empresas de segurança – ESET, Microsoft, Symantec – para tentar derrubar a botnet Trickbot, com a ajuda de provedores de telecomunicações. O momento foi logo antes das eleições presidenciais dos EUA, pois as partes envolvidas não queriam correr riscos e deixaram milhões de máquinas infectadas por Trickbot  interferirem no  processo  eleitoral.

Este esforço deveria ter colocado o fim da ameaça trickbot, mas infelizmente não fez. Os operadores trickbots se repartiram, encontraram novas maneiras de continuar suas operações e, apesar das perdas em suas fileiras, não desistiram de suas más intenções.

Conexões para outros malwares em 2021

Durante seu ciclo de vida, o Trickbot foi continuamente ligado às diferentes famílias de malware como meio de espalhará-las. Ryuk  ransomware ou  BazarBackdoor, por exemplo – e isso é apenas algumas das famílias de malware entregues pelo Trickbot. A situação não mudou após a queda da botnet em outubro de 2020. A Trickbot esteve envolvida em um dos ataques de ransomware mais  graves  em 2021.

Em 22 de setembro de 2021, o FBI divulgou um aviso  que forneceu uma descrição detalhada sobre o grupo por trás do  ransomware  Conti. Há várias menções de Trickbot neste artigo alegando que era um dos meios de entrega de ransomware para as máquinas das vítimas. O ransomware Conti é uma ameaça séria. Como afirmado no  relatório do  FBI,havia cerca de 400 organizações em todo o mundo afetada por Conti, 290 dos quais estavam localizados nos EUA. O FBI identificou vários vetores de ataque, incluindo o de alto perfil: redes de saúde e socorristas, agências de aplicação da lei, serviços médicos de emergência, centros de despacho 9-1-1 e municípios.

Alvos

Após a queda da botnet, a taxa de atividade do Trickbot foi persistente (refletida no gráfico abaixo):

Figura 1 – Trickbot  dinâmica  de  máquinas  infectadas a partir de  1º  de  novembro  de  2020

A Check  Point Research  detectou mais de 140.000 vítimas afetadas  pela  Trickbot  globalmente  desde  a queda da  botnet,  incluindo  organizações  e  indivíduos. Para  entender  o tamanho  desse  número, podemos  compará-lo com  400 organizações  supostamente  afetadas  pelo  ransomware Conti de acordo com  o  FBI.   ataque sonoro  de  400 organizações  onde  trickbot estava envolvido    para espalhar  o  ransomware.

O Trickbot  afetou  149 países no total, o que  equivale  a  mais  de  75% de  todos  os  países do  mundo. Como mostrado  na figura dois, quase  um  terço  de  todos  os  alvos  Trickbot  foram  localizados  em  Portugal e  nos  EUA:

Figura 2 – Vítimas de  Trickbot  desde  1º  de novembro  de  2020 agrupadas  por  países

Os gráficos a  seguir  mostram a  distribuição  das  vítimas  pela  indústria:

Figura 3 – Vítimas de  Trickbot  desde  1º  de novembro  de  2020 agrupadas  por  indústrias

Como vítimas de indústrias de alto perfil  constituem  mais de  50% de todas as    vítimas  que  mais uma vez  falou  sobre  a  eficácia  do  Trickbot.

Campanhas

Pesquisadores detectam 223  campanhas  diferentes  de  Trickbot  nos  últimos  6 meses . No entanto,129 das  223 campanhas  pararam  suas  atividades  em  julho.

Figura 4 – Número de  campanhas  (verticais) que  foram  observadas pela última  vez  nos meses específicos (horizontal)

Pode parecer  que  a  atividade  trickbot  caiu  em escala, mas  combinado  com todos os    outros  fatos  podemos  concluir  exatamente o  oposto. Como campanhas  se  tornaram  mais massiram  e  amplamente  direcionadas à medida  que o  número  de  vítimas  continua a  crescer,  apesar  da  queda no número  de  campanhas.

Existem  duas  campanhas  que  se se  por causa do    número  de  endereços  IP  que  eles  usam. Campanha  com  identificador  “zev4” tem  usado  79 endereços  IP  durante  o  tempo de  sua atividade, enquanto  a  campanha  “zem1“– apenas  um  pouco  menos,64 IP  diferentes  endereços.

Isso pode ser  um sinal  de  crescimento  contínuo  da  Trickbot,  já  que essas  campanhas  são recentes.
“zev4” foi  visto pela primeira  vez  em  26de  julho  e ainda está  ativo  hoje. ”  zem1” foi  uma  campanha  de  curto prazo  que  foi  vista por 3 dias  apenas  de  13  de  setembro  a  15de  setembro  . Nenhuma outra  campanha usa mais de  50 endereçosIP. No entanto,37 deles  ( sem contar  as  2 campanhas  acima)usammais de  40  endereços  IP diferentes  .

A divisão do  número  total de  campanhas  que  usam o  número  de  endereços IP por  intervalos  é  mostrada  no  seguinte  diagrama:

Figura 5 – número de  campanhas  (verticais) usando  tantos endereços    IP exclusivos  (horizontal)

Essas  informações podem  ser  interpretadas  da  seguinte  maneira:  o  Trickbot  ataque  uma ampla   gama de  vítimas, ela  se  baseia  em um número  relativamente  pequeno  de  endereços IP . Alguns deles  sãotestados  no tempo e  confiáveis,como ver no   próximo  capítulo.

Infraestrutura de rede

Rastreamos um  total de  1061  endereços  IP  nãocriptografados  exclusivos  usados em campanhas  trickbot,  com  1115  combinações exclusivas  de  ip: porta. Existem  8  endereços  usados  em até 61  campanhas, todos  em  443 porta:

Todos os endereços IP da lista foram usados por menos 5 meses até o momento

Renascimento emotet

A botnet  Emotet  , uma ameaça  autoritária  que  mantinha  mais de  1,5 milhão de  máquinas  sob  seu controle, era  capaz  de  infectar  essas  máquinas  com  banqueiros adicionais,  troianos e ransomware. Seu dano  estimado  foi de cerca de  2,5 bilhões  de dólares. Emotet  é  um malware  de  longo  prazo  e  opera  com  algumas  pausas  e  pausas desde  2014, foi  muito  amplamente  difundido antes  da  derrubada  afetando  mais de  1,5 milhão de máquinas  ao  ao redor  do  mundo. Era famoso  por espalhar outras  famílias  de malware, incluindo  Trickbot, Ryuk  ransomware  e  outros.

Emotet foi  derrubado  em  janeiro  passado  por  uma operação  conjunta  de  várias  agências de aplicação  da  lei  e  autoridades  judiciais em todo o  mundo.

Figura 6 – Autoridades legais que  participaram  da derrubada  da  Emotet  (imagem  de  europol.europa.eu)

Centenas de pesquisadores de  segurança em todo o  mundo  aplaudiram  sua derrubada  e  o  pensamento  de  um  emotet mundo  livre . No entanto, em  15 de novembro, apenas  10 meses após   sua queda, como máquinas infectadas  trickbot  começaram  a  soltar amostras de  Emotet. Como máquinas infectadas  recentemente  Emotet  começaram a se espalhar  maisuma  vez,  por  uma forte  campanha  malspam  promovendo que os usuários  baixassem  arquivos zip de proteção por senha, que  continham  documentos  maliciosos       que uma vez  que  rane  e  macros são habilitadas  infectar  o  computador  com  o  Emotet, fazendo com que o  ciclo  de  infecção  se  repita  e  permitindo  que  a  Emotet  reconstrua  sua  rede  botnet. A  Emotet  não  poderia  escolher uma plataforma  melhor  do  que  o  Trickbot  como  serviço de entrega quando se tratava da  perguntade  renascimento  da  Emotet.

Desde que vimos  o  retorno  do  Emotet  em novembro, observamos um volume de  sua atividade  que  é  por  menos  50% do  nível  que  vimos  em janeiro  de  2021, antes  da  Emotet  ter  sido derrubado. Essa  tendência  de  alta  continua ao longo de  dezembro  também.

Com 10 meses  de  centro, a  Emotet  atualizou  sua operação  e  adicionou  alguns novos truques à sua caixa de  ferramentas. Usando  criptografia  de  curva elíptica  em  vez  de  criptografia  RSA, melhorando  seus  métodosde ajuste de fluxo de  controle,  adicionando  à  infecção  inicial  usando  instalador de aplicativo Windows malicioso pacotes  que    imitam  software legítimo e muito  mais.

Além de usar o  Trickbot  para soltar  suas  amostras,  a  Emotet  também  se apega ao  esquema  sondado  de  ser  distribuído através de documentos maliciosos. Abaixo  damos  uma olhada nos  detalhes  da  infecção  emotet  realizada  com  a  ajuda de  documentos  maliciosos.

Baixando a carga emotet via maldocs

Analisamos o  documento  do Excel malicioso  com  o  seguinte  hash: 800f6f0cbc307b6d39d48563fb2a15a2119a76d97ec5999f0995e3c4af0b2211.

Este arquivo é  carregado  de  várias  fontes, de acordo com  o  VirusTotal, um dado em  que apareceu  no  VirusTotal  é  2021-11-16:

Figura 7 – Arquivo analisado no  VirusTotal

O script dentro do  documento  usa  Powershell  para  baixar a  carga.

Figura 8 – URLs  maliciosos  dentro do  script  PowerShell

O script baixa binários do Windows PE  para  a  massa  “C:\ProgramData” dos  seguintes  locais:

https://visteme.mx/shop/wp-admin/PP/

https://newsmag.danielolayinkas.com/content/nVgyRFrTE68Yd9s6/

https://av-quiz.tk/wp-content/k6K/

https://ranvipclub.net/pvhko/a/

https://goodtech.cetxlabs.com/content/5MfZPgP06/

Se a carga  para  a Baixada  com  sucesso,  o  binário  será  gerado  e  o  roteiro pára  de  verificar  outras  URLs  da lista dada  . Uma  das  cargas  emotet  baixaram  desta  forma  o  seguinte  hash: 3f57051e3b62c87fb24df0fdc4b30ee91fd73d3cee3a6f7a962efceba2e99c7d.

Emotet não  é  uma ameaça  a ser   tomada  de  ânimo leve, como  visto  no  passado, pode  crescer  o  escopo  monstruoso. O retorno  também  pode  causar um  aumento  nos  ataques  de ransomware,  já que o  Emotet  é  conhecido por  abandonar  vários  ransomwares  no passado.
Continuaremos monitorando-o,  mantendo  nossos  produtos  em pé de igualdade com  seus mais novos  métodos de  infecção.

Conclusão

Botnet takedown  soa  forte  como  um termo, mas  na  realidade derrubar  um botnet  é  mais  fácil  do  que  manter  uma botnet  em estado ativado  . Nossos  dados mostram que  trickbot  está  muito  vivo  desde  a  queda  e  continua  evoluindo. Com  o  Emotet  de volta  e  usando  o  malware  Trickbot como um serviço de entrega,  o  cenário  de malware está  fazendo  o  seu  melhor  para  ser  o  mais ameaçador  e    possível.

Estamos constantemente  monitorando  essas  e  outras  ameaças  e  protegendo  nossos clientes.

Proteções de pontos  de verificação

O Check Point Software oferece  proteção  zero-dia  em sua  rede, nuvem, usuários  e  soluçõesde segurança de  acesso,  o  Check Point Harmony oferece  a  melhor  proteção de zero-dia,  reduzindo  a sobrecarga de    segurança

Verificar proteções da rede de harmonia do  ponto:

Trojan-Banker.Win32.TrickBot

Proteções de emulação de  ameaças:

Banker.Win32.TrickBot.TC

Trickbot.TC

Botnet.Win32.Emotet.TC.

Emotet.TC.

TS_Worm.Win32.Emotet.TC.*

Trojan.Win32.Emotet.TC.

IOCs

Como listas abaixo  não  são  excessivas  por  qualquer  meio.

Trickbot Hashes

6454414d0149be1aad7fcdc0af1bc1296824f87db5e4b8d7202ea042537f21

3d5853ab9ec4e2b24bf328dc526e09975d1b266f1684bbbc8f8f8f8f8e3292a1c3f2d0

Emotet Hashes

800f6f0cbc307b6d39d48563fb2a15a219a76d97d97d59999f0995e3c4af0b2211

3f57051e3b62c87fb24df0fdc4b30ee91fd73d3cee3a6f7a962efceba2e99c7d

Endereços IP trickbot

24.162.214.166
45.36.99.184
60.51.47.65
62.99.76.213
82.159.149.52
97.83.40.67
103.105.254.17
184.74.99.214

URLs com Carga Emotet

http[://ranvipclub.net/pvhko/a/

http[://apps.identrust.com/roots/dstrootcax3.p7c

http[://visteme.mx/shop/wp-admin/PP/

http[://av-quiz.tk/wp-content/k6K/

http[://ranvipclub.net/pvhko/a/

https[://goodtech.cetxlabs.com/contente/5MfZPgP06/

https[://newsmag.danielolayinkas.com/content/nVgyRFrTE68Yd9s6/

Recursos

Trickbot antes de derrubar

1. Exclusivo: O principal anel de crimes cibernéticos foi  interrompido  quando as autoridades  invadem  escritórios de Moscou  –  fontes  // https://www.reuters.com/article/us-cybercrime-russia-dyre-exclusive-idUSKCN0VE2QS
2. TrickBot: Sentimos  sua falta,  Dyre  // https://fidelissecurity.com/threatgeek/archive/trickbot-we-missed-you-dyre
3. Descrições do módulo Trickbot  // https://securelist.com/trickbot-module-descriptions/104603/
4. TrickBooster –  Módulo de  infecção  baseado em e-mail  da  TrickBot  // https://www.deepinstinct.com/blog/trickbooster-trickbots-email-based-infection-module
5. E-mails de  phishing  COVID-19  contêm  principalmente  TrickBot: Microsoft// https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain-trickbot-microsoft-a-14149
6. Universal Health Services reporta perda de  US$ 67 milhões  para  Ryuk  Ransomware  // https://www.safernetvpn.com/universal-health-services-report-67-million-loss-to-ryuk-ransomware
7. Ryuk Ransomware  Lucros: $150 Milhões  // https://www.bankinfosecurity.com/ryuk-ransomware-profits-150-million-a-15726
8. Lazarus APT colabora com  o Projeto  Âncora  da  Trickbot  // https://threatpost.com/lazarus-collaborates-trickbots-anchor-project/151000/
9. Soltando a âncora  // https://www.netscout.com/blog/asert/dropping-anchor
10. TrickBot muda para  um novo  desvio  UAC do Windows 10  para  evitar a  detecção  // https://threatpost.com/trickbot-switches-to-a-new-windows-10-uac-bypass-to-evade-detection/152477/
11. Ataques destinados a  interromper o Botnet  Trickbot  // https://krebsonsecurity.com/2020/10/attacks-aimed-at-disrupting-the-trickbot-botnet/

Operação trickbot de derrubada

1. Uma atualização sobre  a  interrupção  do  Trickbot  // https://blogs.microsoft.com/on-the-issues/2020/10/20/trickbot-ransomware-disruption-update/
2. Trickbot interrompido  // https://www.microsoft.com/security/blog/2020/10/12/trickbot-disrupted/
3. ESET participa de operação  global para  interromper  Trickbot  // https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/
4. Botnet TrickBot  direcionado em operações de derrubada,  pouco  impacto  visto  // https://www.bleepingcomputer.com/news/security/trickbot-botnet-targeted-in-takedown-operations-little-impact-seen/
5. O malware TrickBot  está sob  cerco  de  todos  os lados, e  está  funcionando  // https://www.bleepingcomputer.com/news/security/trickbot-malware-under-siege-from-all-sides-and-its-working/
6. Cidadão letão  acusado  de papel suposto na Organização  Transnacional de Crimes Cibernéticos  // https://www.justice.gov/opa/pr/latvian-national-charged-alleged-role-transnational-cybercrime-organization

Trickbot após a derrubada

1. Conti Ransomware  // https://us-cert.cisa.gov/ncas/alerts/aa21-265a
2. Ataques do Conti  Ransomware  impactam  redes de saúde e  primeiros  socorros // https://www.ic3.gov/Media/News/2021/210521.pdf
3. Os cinco ataques  de  ransomware  mais  importantes  de  2021 // https://www.raconteur.net/technology/the-five-most-important-ransomware-attacks-of-2021/
4. Trickbot Rising  — Gang dobra os   esforços de infecção    para  amassar  bases da rede   // https://securityintelligence.com/posts/trickbot-gang-doubles-down-enterprise-infection/
5. Descrições do módulo Trickbot  // https://securelist.com/trickbot-module-descriptions/104603/

Emotet

1. Emotet de malware mais perigoso  do mundo  interrompido através da  ação global // https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
2. Policiais interrompem Emotet, o  ‘Malware Mais Perigoso’  da Internet  // https://www.wired.com/story/emotet-botnet-takedown/