I ricercatori di Cisco Talos hanno rilevato un numero crescente di attacchi con la botnet Trubot e l’uso di nuove tecniche per distribuire i malware, tra cui il ransomware Clop. Gli autori sono i cybercriminali russi del Silence Group, probabilmente associati con il gruppo Evil Corp. Fortunatamente è sufficiente installare una soluzione di sicurezza per bloccare queste minacce.
Nuova versione di Trubot
Trubot è stata identificata per la prima volta nel 2017. A partire da agosto 2022 sono aumentati gli attacchi effettuati con tecniche diverse dal classico phishing e nuovi malware. Gli esperti di Cisco Talos ha scoperto due versioni della botnet. Una è stata distribuita in tutto il mondo, mentre quella più recente ha colpito soprattutto gli Stati Uniti. I bersagli principali sono le istituzioni finanziarie.
La prima botnet è stata distribuita sfruttando una vulnerabilità del tool Netwrix Auditor e, dal mese di ottobre, con il malware Raspberry Robin. Per la seconda non è noto il vettore di attacco. In totale sono stati infettati oltre 1.500 sistemi in diversi paesi, Italia inclusa.
La nuova versione di Trubot utilizza diversi malware per raccogliere informazioni sulla rete e rubare i dati. Uno di essi è Teleport che comunica con il server C2 (command and control) in forma cifrata. L’operatore remoto può impostare diversi parametri, come la velocità di upload e la dimensione massima dei file da esfiltrare per non destare sospetti.
I profitti dei cybercriminali derivano principalmente dalla doppia estorsione effettuata con il ransomware Clop. Dopo aver rubato i dati viene avviata la cifratura, al termine della quale appare la richiesta di riscatto. Come detto, tutti i malware utilizzati negli attacchi vengono rilevati dalla maggioranza delle soluzioni di sicurezza sul mercato.