El Departamento de Justicia de Estados Unidos (DoJ) ha anunciado que un ciudadano ruso ha sido condenado por su participación en el desarrollo e implementación del malware TrickBot. Este individuo ha sido declarado culpable por sus acciones relacionadas con este software malicioso, marcando así un hito en la lucha contra las amenazas cibernéticas.

¿QUE ES TRICKBOT?

Trickbot, también conocido como Trickster, TheTrick o TrickLoader, es una botnet que ha estado activa desde finales de 2016. Inicialmente, esta amenaza consistía principalmente en un troyano y se utilizaba exclusivamente para robar credenciales de acceso a cuentas bancarias en línea, con el objetivo de realizar transferencias fraudulentas. Con el tiempo, Trickbot ha evolucionado y expandido sus capacidades, convirtiéndose en un malware multipropósito.

Esta botnet no solo se limita al robo de credenciales bancarias, sino que ha adoptado un modelo de Malware-as-a-Service (Malware como Servicio), permitiendo a otros actores maliciosos utilizar y distribuir su propio malware a través de la infraestructura de Trickbot. Esto ha contribuido a que Trickbot se convierta en una de las botnets más prolíficas y populares, con más de un millón de detecciones en todo el mundo.

¿Qué es una botnet?

Una botnet es un programa malicioso que puede ser controlado de forma remota por un atacante. Este tipo de código malicioso consta de un panel de control desde el cual se ejecutan las acciones deseadas y una aplicación de servidor que establece la comunicación con el centro de control del atacante. Lo distintivo de las botnets es su capacidad para permitir que un atacante ejecute instrucciones en muchos equipos infectados con el malware de manera simultánea, lo que les otorga un gran poder y alcance en sus acciones maliciosas.

TrickBot, un malware notorio, ha estado en el radar de investigaciones internacionales debido a sus actividades perjudiciales en el ámbito digital. El DoJ ha emprendido acciones legales para perseguir a aquellos responsables de la creación y propagación de este software malintencionado.

Este veredicto subraya los continuos esfuerzos de las autoridades estadounidenses para abordar y contrarrestar las amenazas cibernéticas, especialmente aquellas provenientes de individuos y grupos con base en el extranjero. La colaboración internacional desempeña un papel fundamental en la lucha contra el cibercrimen, ya que la coordinación entre diferentes naciones es esencial para hacer frente a estos desafíos en la era digital.

Vladimir Dunaev, de 40 años, fue detenido en Corea del Sur en septiembre de 2021 y extraditado a Estados Unidos un mes después. Según el Departamento de Justicia, Dunaev desarrolló modificaciones del navegador y herramientas maliciosas que facilitaron la recopilación de credenciales y la extracción de datos de computadoras infectadas. Además, mejoró el acceso remoto utilizado por los actores de TrickBot y creó un código de programa para eludir la detección del malware TrickBot por parte del software de seguridad legítimo.

Durante su participación en el plan, Dunaev contribuyó a defraudar a 10 víctimas en el distrito norte de Ohio, incluyendo escuelas de Avon y una empresa inmobiliaria de North Canton, por más de 3,4 millones de dólares mediante ransomware implementado por TrickBot.

Dunaev se declaró culpable de fraude informático, robo de identidad y conspiración para cometer fraude electrónico y fraude bancario. Enfrenta una posible pena máxima de 35 años de prisión y su sentencia está programada para el 20 de marzo de 2024.

Este arresto marca el segundo de un desarrollador de malware asociado con TrickBot, después de Alla Witte, un ciudadano letón sentenciado a dos años y ocho meses de prisión en junio de 2023.

El evento ocurrió cerca de tres meses después de que los gobiernos del Reino Unido y Estados Unidos impusieran sanciones a 11 personas sospechosas de formar parte del grupo de delitos cibernéticos TrickBot.

TrickBot, inicialmente un troyano bancario en 2016, evolucionó para convertirse en una herramienta multipropósito capaz de entregar cargas útiles adicionales a sistemas infectados y facilitar el acceso inicial para ataques de ransomware. Después de la invasión rusa de Ucrania, el equipo de ransomware Conti tomó el control de la operación, pero tanto Conti como TrickBot sufrieron un golpe significativo el año pasado, con el cierre de Conti y su desintegración en varios grupos tras la invasión. Las filtraciones denominadas ContiLeaks y TrickLeaks proporcionaron información valiosa sobre sus chats internos e infraestructura, contribuyendo al desmantelamiento de estos grupos.

Principales métodos de distribución de Trickbot

Trickbot utiliza diversos métodos de distribución para propagarse, siendo los correos de phishing uno de los principales vectores de ataque. Estos correos están diseñados de manera personalizada, utilizando señuelos que van desde temas de actualidad hasta cuestiones relacionadas con el dominio corporativo del destinatario o asuntos financieros, como facturas, bonos y multas de tránsito impagas. Estos mensajes fraudulentos suelen contener enlaces maliciosos o archivos adjuntos, principalmente en formatos como Excel, Word o ZIP. La distribución se realiza desde múltiples ubicaciones en todo el mundo, a menudo utilizando cuentas comprometidas en campañas anteriores para pasar desapercibidos.

Ejemplo de correo de phishing que incluye enlaces a un sitio con archivos maliciosos de Trickbot.

Además de las tácticas de phishing, Trickbot también se aprovecha de vulnerabilidades conocidas para moverse lateralmente dentro de las redes de víctimas ya infectadas. Un ejemplo de esto es el uso de exploits como EternalBlue y EternalRomance en el protocolo de Server Message Block (SMB). Aunque estas vulnerabilidades han sido parcheadas desde 2017, muchos equipos no han recibido actualizaciones, lo que permite que Trickbot realice movimientos laterales de manera efectiva, generando desafíos adicionales para las organizaciones afectadas.

Un método de distribución más reciente identificado antes de la interrupción de la botnet implica el uso de droppers en sistemas ya infectados por Emotet. Una vez que un equipo ha sido comprometido por Emotet, se descarga y ejecuta un archivo malicioso que contiene Trickbot, todo sin el conocimiento del usuario.

Consejos para protegerse

Protegerse de Trickbot requiere una vigilancia activa y la adopción de prácticas de seguridad sólidas, dadas las características distintivas que ha desarrollado a lo largo del tiempo. Aquí te dejamos algunos consejos esenciales:

  1. Vigilancia constante: Permanece alerta ante cualquier comunicación sospechosa. Verifica el remitente, la autenticidad y la razón de la comunicación, incluso si proviene de una dirección de correo aparentemente legítima.
  2. Desconfiar de enlaces sospechosos: En caso de recibir un correo electrónico sospechoso, evita acceder a sitios web que parezcan genuinos pero que en realidad podrían ser subpáginas web sospechosas. Por ejemplo, verifica cuidadosamente las URLs, especialmente si contienen combinaciones inusuales de caracteres.
  3. Cautela con archivos adjuntos: Desconfía de los archivos adjuntos, especialmente si son documentos de Word, Excel, PDF o ZIP protegidos con contraseña. Evita descargar estos archivos si la procedencia es dudosa.
  4. Política de contraseñas robusta: Implementa una política que requiera cambios de contraseña de forma periódica. Esto ayuda a reducir el riesgo de compromisos de cuentas y fortalece la seguridad de tus credenciales.
  5. Mantenimiento de actualizaciones: Asegúrate de mantener todos tus dispositivos y aplicaciones actualizados. Esto incluye servidores, equipos de escritorio, laptops, dispositivos móviles, y cualquier software que utilices. Las actualizaciones suelen corregir vulnerabilidades que podrían ser explotadas por amenazas como Trickbot.

Al seguir estos consejos, puedes fortalecer tu postura de seguridad y reducir la probabilidad de caer víctima de Trickbot y otras amenazas cibernéticas.

fuente:thehackernews