Geng Ransomware Conti Mengambil Alih TrickBot

ESET pertama kali mendeteksi Trickbot pada akhir 2016, dan sejak itu telah diakui sebagai salah satu keluarga malware perbankan paling umum di seluruh dunia. TrickBot telah mendominasi lanskap ancaman malware sejak saat itu, bermitra dengan geng ransomware dan menyebabkan malapetaka pada jutaan perangkat di seluruh dunia.

Setelah beberapa tahun aktivitas dan berbagai upaya take down dilakukan, lonceng kematian TrickBot malah semakin terdengar keras saat mereka mulai berada di bawah manajemen baru, sindikat ransomware Conti, yang berencana untuk menggunakan malware BazarBackdoor yang lebih tersembunyi.

Mitra TrickBot

TrickBot adalah platform malware Windows yang menggunakan beberapa modul untuk berbagai aktivitas berbahaya, termasuk pencurian informasi, pencurian kata sandi, penyusupan domain Windows, akses awal ke jaringan, dan pengiriman malware.

Geng ransomware Ryuk awalnya bermitra dengan TrickBot untuk akses awal ke pekerjaan, tetapi digantikan geng ransomware Conti yang telah menggunakan malware selama setahun terakhir untuk mendapatkan akses ke jaringan perusahaan.

Diperkirakan bahwa grup yang menangani kampanye TrickBot, divisi elit yang dikenal dengan nama Overdose, telah menghasilkan setidaknya $200 juta dari operasinya,

Conti mengambil alih operasi TrickBot

Para peneliti keamanan dunia memperhatikan bahwa pada tahun 2021 Conti telah menjadi satu-satunya penerima pasokan akses jaringan berkualitas tinggi dari TrickBot.

Pada saat ini, tim inti pengembang TrickBot telah membuat malware yang lebih tersembunyi, BazarBackdoor, yang digunakan terutama untuk akses jarak jauh ke jaringan perusahaan yang berharga tempat ransomware dapat digunakan.

Karena trojan TrickBot menjadi mudah dideteksi oleh vendor antivirus, Geng Conti mulai beralih ke BazarBackdoor untuk akses awal ke jaringan karena dikembangkan secara khusus untuk secara diam-diam membahayakan target bernilai tinggi.

Namun, pada akhir tahun 2021, Conti berhasil menarik beberapa pengembang dan manajer elit botnet TrickBot, mengubah operasinya menjadi anak perusahaan dan bukan mitra.

Berdasarkan percakapan internal Conti yang dapat diakses dan dibagikan oleh para peneliti diketahui bahwa BazarBackdoor berubah dari menjadi bagian dari toolkit TrickBot menjadi alat mandiri yang pengembangannya dikendalikan oleh sindikat ransomware Conti.

Admin utama grup Conti mengatakan bahwa mereka mengambil alih TrickBot. Mereka memindahkan Conti dari TrickBot ke BazarBackdoor sebagai cara utama untuk mendapatkan akses awal.

Trust Base Team Base

Sejak diluncurkan, operasi Conti mempertahankan kode etik yang memungkinkannya naik sebagai salah satu kelompok ransomware paling tangguh dan menguntungkan, tidak terpengaruh oleh tindakan keras penegakan hukum terhadap para pesaingnya.

Diketahui juga bahwa kelompok tersebut dapat menjalankan bisnis kriminal siber normal mereka dengan mengadopsi model “berbasis kepercayaan, berbasis tim” atau Trust Base, Team Base alih-alih bekerja dengan afiliasi acak yang akan menyebabkan tindakan dari penegak hukum karena organisasi yang mereka serang.

Sementara deteksi malware TrickBot akan menjadi kurang umum, temuan terbaru menunjukkan bahwa operasi belum selesai dan hanya dipindahkan ke grup kontrol baru yang membawanya ke tingkat berikutnya dengan malware yang lebih cocok untuk target bernilai tinggi.