Negli ultimi giorni sono stati osservati diversi nuovi attacchi Ransomware Conti associati alla presenza del malware TrickBot. L’aumento di attacchi e diffusione del ransomware sembrerebbe associata a nuovi accordi di affiliazione stretti tra i gruppi Hive0106 e Hive0107 con la gang TrickBot, nota anche per i malware BazarLoader e TirckBot.

Il Malware

Il Trojan bancario TrickBot è stato identificato per la prima volta nel 2016. Col passare del tempo la gang che lo ha sviluppato e dal quale il malware prende il nome, TrickBot (conosciuta anche con il nome di Wizard Spider), ha ampliato e migliorato le funzionalità del suo strumento, rendendolo un malware multi-purpose, capace di impiantare backdoor, effettuare il delivery di payload aggiuntivi ed eseguire attività di movimenti laterali ed esfiltrazione dei dati con estrema rapidità.

Recentemente è stato osservato il deploy del malware attraverso l’uso di mail di malspam che spingono la vittima a chiamare un call-center. Durante la chiamata la vittima viene reindirizzata ad un operatore che ha il compito di guidare l’utente al download e all’esecuzione del malware BazarLoader. Questa tecnica di distribuzione viene identificata con il nome di BazarCall.

I nuovi affiliati

I nuovi affilitati alla gang TrickBot sono stati osservati in campagne passate per il loro uso di IceID (Hive0107). Entrambi hanno come target vari paesi dell’occidente, come Stati Uniti e Canada, ma anche vari paesi europei. Solitamente, il deploy del malware avviene attraverso un file zip protetto da password (allegato ad una mail) contenente file HTA o script di vario genere (come WScript e JScript) la cui esecuzione porta al deploy del loader BazarLoader. Da qui una serie di comandi e script Powershell, associati a beacon CobaltStrike e codice per sfruttare la vulnerabilità PrintNightmare per ottenere privilegi amministrativi.

Hive0106

Il gruppo Hive0106 è noto per le sue campagne di spam e l’utilizzo di tecniche di Email Hijacking. Tale tecnica consiste nell’inserirsi all’interno di conversazioni private inviando contenuti malevoli mascherati come legittimi. Le campagne eseguite dal gruppo sono state osservate su diversi ambiti e aree geografiche, con diversi domini e siti utilizzati per distribuire software malevolo.

Hive0107

Il gruppo Hive0107, invece, è noto per la sua precedente affiliazione con IceID, spesa nella prima metà del 2021. Le prime attività relative all’utilizzo di TrickBot e BazarLoader risalgono a Maggio 2021. Gli attacchi di Hive0107 sono caratterizzati dall’invio di link malevoli agli utenti, solitamente messaggi contenenti informazioni su azioni legali nei confronti del malcapitato. Il software malevolo viene distribuito tramite piattaforme in cloud e scaricato dal loader al momento dell’infezione.

Consigli

Per far fronte a questo genere di attacchi informatici si consiglia di eseguire attività di Security Monitoring erogate tipicamente da servizi di tipo MDR (Managed Detection & Response e Security Operation Center). L’autenticazione a due fattori per l’accesso a dati sensibili è sempre più necessaria ed urgente, anche se non risolutiva. La consapevolezza da parte dei dipendenti dell’azienda sui rischi associati ad email, link e documenti sospetti è una buona pratica per ridurre i rischi nei confronti di questo tipo di minacce.

Riferimenti e approfondimenti

Related articles