TrickBot зародился как похититель банковской информации в 2016 году. Широко распространено мнение, что TrickBot имеет некоторые связи с Dyreza, еще одним высокоэффективным похитителем учетных данных, который работал несколько лет назад. TrickBot и Dyreza имеют много заметных операционных и структурных сходств, включая то, как вредоносное ПО взаимодействует с серверами управления и контроля.

Через год после запуска TrickBot был дополнен модулем-червем, который, скорее всего, имитирует успешную кампанию по борьбе с вымогателями WannaCry. На этом этапе создатели также разработали модуль для проверки учетных данных Outlook, тем самым подвергая риску компрометации миллионы, если не миллиарды корпоративных учетных записей.

Эта разработка, а также другие изменения позволили TrickBot расширить свои возможности, включив сбор файлов cookie, историю браузера и другую конфиденциальную информацию. К концу 2018 года TrickBot считался одной из главных угроз кибербезопасности на рынке.

В последние годы специалисты по кибербезопасности заметили значительное улучшение методов подрывной деятельности TrickBot, из-за чего организациям стало сложнее обнаруживать активную атаку.

Помимо кражи финансовой информации или использования в качестве платформы для атак программ-вымогателей, TrickBot также может использоваться для нарушения работы важнейших социальных служб или подрыва демократического процесса. Во время последних президентских выборов в США спецслужбы подтвердили, что это вредоносное ПО представляет угрозу для безопасных и честных избирательных процессов.

За последние месяцы WIZARD SPIDER продемонстрировал свою устойчивость и приверженность преступным операциям, управляя несколькими семействами программ-вымогателей с разными методами работы, используя TrickBot и BazarLoader для проникновения в среду жертв и реагируя на попытки их остановить.

WIZARD SPIDER — это сложная группа eCrime, которая использует программу-вымогатель Ryuk с августа 2018 года, нацеленную на крупные организации с целью получения крупного выкупа. Эта методология, известная как «охота на крупную дичь», сигнализирует об изменении деятельности WIZARD SPIDER.

Этот субъект представляет собой базирующуюся в России преступную группировку, известную использованием банковского вредоносного ПО TrickBot, которая в прошлом специализировалась в основном на мошенничестве с использованием электронных средств связи.

Для корпоративных организаций первым шагом в защите от вредоносных программ TrickBot является осведомленность. Поскольку люди сами по себе не могут в достаточной степени отслеживать и анализировать сетевой трафик и активность, чтобы обнаруживать, когда происходит атака, важно разработать всеобъемлющую сквозную стратегию кибербезопасности, которая защищает сеть организации, конечные точки и пользователей с помощью различных передовых средств. Они должны включать интеллектуальные возможности предотвращения, обнаружения и реагирования.

Эти решения должны автоматизировать ключевые аспекты процесса мониторинга и анализа и предоставлять администраторам оповещения в режиме реального времени, чтобы помочь расставить приоритеты действий. Это включает в себя:

- Мониторинг индикаторов компрометации (IOC) и индикаторов атаки (IOA)

- Изоляция зараженных машин от сети

- Обновление и исправление сетевых и программных приложений для устранения уязвимостей системы

- Оповещение группы кибербезопасности об аномальном поведении или необычной сетевой активности

Организация также должна предпринять шаги для обеспечения общей безопасности сети с помощью следующих передовых методов кибербезопасности. К ним относятся:

- Обеспечение сквозной видимости сети, включая все конечные точки и пользователей.

- Следование принципу наименьших привилегий (POLP), который представляет собой концепцию и практику компьютерной безопасности, предоставляющую пользователям ограниченные права доступа в зависимости от задач, необходимых для их работы.

- Использование стратегии сегментации сети, чтобы отделить и изолировать сегменты в корпоративной сети, чтобы уменьшить поверхность атаки.

- Внедрение многофакторной аутентификации (MFA) и других методов защиты удостоверений.

Поскольку атаки TrickBot инициируются через вредоносную ссылку или вложение, также важно обучить сотрудников безопасному и ответственному поведению в Интернете. Это включает в себя:

- Предоставление обучения кибербезопасности для обучения пользователей распространенным методам атак.

- Регулярно делитесь примерами фишинговых писем или кампаний социальной инженерии, чтобы люди не теряли бдительности в отношении таких методов.

- Включение баннера или других обозначений для оповещения сотрудников о том, что электронное письмо отправлено из внешнего источника.

- Требовать от пользователей регулярно менять пароли и обеспечивать использование надежных паролей.

- Необходимо сохранять контроль над своим устройством и не позволять другим лицам использовать его.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.