Conti 랜섬웨어, Trickbot 작전 제어하기 시작해

Trickbot operation is now controlled by Conti ransomware

 

AdvIntel에 따르면, TrickBot의 핵심 멤버 몇 명이 Conti 랜섬웨어 그룹으로 이동한 것으로 나타났습니다. 그리고 Conti 랜섬웨어는 이 인기있는 TrickBot을 더욱 은밀히 활동하는 BAzarBackdoor로 대체할 계획인 것으로 알려졌습니다.

 

TrickBot은 2016년 10월부터 활동을 시작한 유명한 윈도우용 뱅킹 트로이 목마로, 제작자는 강력한 패스워드 탈취 기능을 포함한 여러 새로운 기능을 구현해 지속적으로 업그레이드했습니다.

 

TrickBot은 초기에는 Ryuk 랜섬웨어와 협력해 봇넷으로 해킹된 네트워크에 초기 접근하는데 사용되었습니다. 이후 Ryuk은 같은 목적으로 Trickbot을 사용하는 Conti 랜섬웨어 그룹으로 대체되었습니다.

 

AdvInt는 분석문을 발표해 아래와 같이 밝혔습니다.

 

"해당 그룹의 엘리트 부서인 ‘Overdose’는 Conti 및 Ryuk 랜섬웨어를 생성하는 결과를 낳은 TrickBot 캠페인을 관리했습니다."

 

"이 그룹은 피해자 한 곳에서 3,400만 달러를 갈취해낸 극단적인 사례를 포함 최소 2억 달러를 벌어들였으며, BazarBackdoor, Ryuk 랜섬웨어등을 이용해 UHS(Universal Health Services)를 포함한 수 많은 의료기관에 광범위한 공격을 실행했습니다. 해당 공격으로 인한 피해액은 약 6,700만 달러로 추산되었습니다.”

 

 

<이미지 출처 : https://www.advintel.io/post/the-trickbot-saga-s-finale-has-aired-but-a-spinoff-is-already-in-the-works>

 

 

2021년, Conti 그룹은 전 세계의 조직 네트워크에 접근하기 위한 초기 발판을 마련하기 위해 TrickBot을 독점적으로 사용했습니다.

 

Conti 그룹의 목표는 랜섬웨어 생태계의 숙달된 멤버를 통합해 약간의 자율성을 부여하고 시장을 장악하는 것입니다.

 

TrickBot의 핵심 개발자 팀은 이미 기업 네트워크에 원격으로 접근하고 랜섬웨어를 배포하는 데 사용할 수 있는 은밀한 악성코드인 BazarBackdoor를 개발했습니다.

 

TrickBot의 인기가 높아짐에 따라 안티 바이러스 솔루션으로 이를 쉽게 탐지할 수 있게 되었기 때문에, 공격자들은 네트워크에 대한 초기 접근을 위해 BazarBackdoor를 사용하기 시작했습니다.

 

Conti 그룹은 2021년 말까지 TrickBot 봇넷의 핵심 개발자 및 관리자를 영입했습니다.

 

“동시에 Conti는 TrickBot의 봇넷 제품의 유일한 최종 사용자가 되었습니다. 2021년 말 Conti는 TrickBot을 인수했으며 여러 엘리트 개발자들과 관리자가 랜섬웨어 조직에 합류했습니다."

 

“하지만 오랜 기간 동안 TrickBot을 이끌어온 사람들이 단순히 활동을 멈추지는 않을 것입니다. Conti에 "인수"된 이후, Conti는 이들의 재능을 활용할 방법을 찾을 것입니다."

 

 

 

 

출처:

https://securityaffairs.co/wordpress/128190/cyber-crime/conti-ransomware-takes-over-trickbot.html

https://www.advintel.io/post/the-trickbot-saga-s-finale-has-aired-but-a-spinoff-is-already-in-the-works