Terlibat dalam operasi penanganan kejahatan siber merupakan salah satu aktivitas ESET dalam melindungi keamanan siber global.
ESET telah berkolaborasi dengan mitra Microsoft, Lumen’s Black Lotus Labs, NTT Ltd. dan lainnya dalam upaya untuk menangani botnet Trickbot. ESET berkontribusi pada proyek dengan menyediakan analisis teknis, informasi statistik, dan nama domain dan IP server Command dan Control yang diketahui.
Trickbot telah menginfeksi lebih dari satu juta perangkat komputasi di seluruh dunia sejak akhir 2016 dan kami telah melacak aktivitasnya sejak awal.
Pada tahun 2020 saja, platform otomatis ESET menganalisis lebih dari 125.000 sampel berbahaya dan mengunduh serta mendekripsi lebih dari 40.000 file konfigurasi yang digunakan oleh modul Trickbot yang berbeda, sehingga sangat membantu ESET dalam menganalisis berbagai server C&C yang digunakan oleh botnet ini.
Botnet Trickbot musuh semua negara
Trickbot telah menjadi gangguan besar bagi pengguna internet sejak lama. Deteksi pertama ESET untuk Trickbot dibuat pada akhir 2016. Selama tahun-tahun ini, gangguan Trickbot telah dilaporkan menjadi duri dalam daging di dunia siber, menjadikannya salah satu botnet terbesar dan berumur terlama di luar sana.
Seperti yang dilaporkan ESET dalam Threat Report Q1 2020, Trickbot adalah salah satu keluarga malware perbankan yang paling umum. Data telemetri ESET menunjukkan bahwa jenis malware ini merupakan ancaman bagi pengguna internet secara global tidak terkecuali Indonesia
Sepanjang keberadaannya, malware Trickbot telah didistribusikan dengan berbagai cara. Baru-baru ini, rantai yang sering ESET amati adalah Trickbot yang di-drop pada sistem yang sudah dikompromikan oleh Emotet, botnet besar lainnya.
Multi plugin Trickbot
Di masa lalu, malware Trickbot dimanfaatkan oleh operatornya sebagian besar sebagai trojan perbankan, mencuri kredensial dari rekening bank online dan mencoba melakukan transfer curang.
Arsitektur Trickbot memungkinkannya melakukan berbagai tindakan berbahaya menggunakan berbagai plugin. Plugin tersebut dapat mencuri semua jenis kredensial dari komputer yang disusupi dan, baru-baru ini, sebagian besar telah diamati sebagai mekanisme pengiriman untuk serangan yang lebih merusak, seperti ransomware.
Salah satu plugin tertua yang dikembangkan untuk platform memungkinkan Trickbot menggunakan injeksi web, sebuah teknik yang memungkinkan malware untuk secara dinamis mengubah apa yang dilihat oleh pengguna dari sistem yang disusupi saat mengunjungi situs web tertentu.
Untuk mengoperasikannya, plugin ini mengandalkan file konfigurasi yang diunduh oleh modul utama. Ini berisi informasi tentang situs web mana yang harus dimodifikasi dan bagaimana caranya.
Melalui pemantauan terhadap operasi Trickbot, ESET mengumpulkan puluhan ribu file konfigurasi berbeda, yang memungkinkan untuk mengetahui situs web mana yang ditargetkan oleh operator Trickbot.
URL yang ditargetkan ini sebagian besar milik lembaga keuangan. Ada penurunan tajam dalam jumlah target yang ditemukan di file konfigurasi ini mulai bulan Maret. Ini bertepatan dengan momen ketika operator Trickbot menjatuhkan modul webinject dari daftar plugin default yang diunduh secara otomatis oleh modul utama.
Inilah mengapa kita tidak memiliki data di bulan Maret, ESET harus menyesuaikan proses untuk menjaga visibilitas pada URL yang ditargetkan. Penurunan jumlah target ini kemungkinan karena geng Trickbot mulai fokus pada cara lain untuk menghasilkan uang selama jangka waktu tersebut yaitu melalui ransomware.
Dalam kasus ini, kompromi Trickbot pertama-tama dimanfaatkan untuk melakukan pengintaian dan pergerakan lateral dalam jaringan organisasi dan kemudian melepaskan ransomware Ryuk di sebanyak mungkin sistem.
Dari data yang telah ESET kumpulkan, tampaknya operator Trickbot beralih dari upaya mencuri uang dari rekening bank, menjadi membahayakan seluruh organisasi dengan Trickbot dan kemudian menggunakannya untuk mengeksekusi Ryuk dan meminta tebusan untuk membuka kunci sistem yang terpengaruh.
ESET juga mengamati proyek pengembangan malware baru yang diduga berasal dari operator Trickbot, yang mungkin juga menjelaskan ketidaktertarikan mereka secara tiba-tiba dalam mengoperasikan Trickbot sebagai trojan perbankan.
Salah satu proyek ini adalah apa yang disebut proyek Jangkar, sebuah platform yang sebagian besar ditujukan untuk spionase daripada crimeware. Mereka juga kemungkinan terlibat dalam pengembangan malware Bazar, yaitu loader dan backdoor yang digunakan untuk menyebarkan malware, seperti ransomware, dan untuk mencuri data sensitif dari sistem yang disusupi.
Apa yang membuat Trickbot begitu serbaguna adalah fungsinya bisa sangat diperluas dengan plugin. Sepanjang pelacakan ESET, dapat dikumpulkan dan dianalisis setidaknya 28 plugin berbeda.
Beberapa dimaksudkan untuk mengambil kata sandi dari browser, klien email dan berbagai aplikasi, sementara yang lain dapat mengubah lalu lintas jaringan atau menyebar sendiri. Plugin Trickbot diimplementasikan sebagai DLL Windows standar, biasanya dengan setidaknya empat ekspor berbeda ini: Start, Control, Release, dan FreeBuffer.
Mencoba menangani ancaman yang sulit dipahami seperti Trickbot sangat menantang dan kompleks. Ia memiliki berbagai mekanisme fallback dan interkoneksinya dengan pelaku kejahatan dunia maya yang sangat aktif di bawah tanah membuat keseluruhan operasi menjadi sangat kompleks.
ESET akan terus melacak ancaman ini dan menilai dampak dari tindakan mereka yang menggunakan botnet dalam skala begitu luas dalam jangka panjang.
