Operator Malware TrickBot Dikabarkan Pensiun, Bergabung ke Ransomware Conti?

Ilustrasi | Foto: freepik.com

Cyberthreat.id – Operator peranti lunak jahat (malware), “TrickBot”, dikabarkan telah menghentikan operasinya.

Pengembang inti malware diduga fokus ke geng ransomware Conti untuk mengembangkan malware “BazarBackdoor”, menurut analisis perusahaan keamanan siber.

TrickBot dikenal sebagai malware Windows yang menyebarkan ancaman sejak 2016. Malware yang dikaitkan dengan geng peretas Rusia, Wizard Spider, ini umumnya disebarkan melalui email phishing.

TrickBot berevolusi dari trojan perbankan Dyre sekitar akhir 2015 ketika anggota Dyre ditangkap. Geng ini telah mengembangkan trojan menjadi toolkit peretasan serba guna; modul individu, yang beroperasi seperti plugin, memungkinkan operatornya untuk menyebarkan ransomware Ryuk dan Conti, sementara fungsi lain memungkinkan keylogging dan pengumpulan data.

"Saya tidak tahu ada keluarga malware lain yang memiliki begitu banyak modul atau fungsi yang diperluas seperti ini," kata Vlad Pasca, analis malware senior di perusahaan keamanan Lifars tentang TrickBot, dikutip dari Wired.

Perusahaan keamanan siber AdvIntel pada Kamis (24 Februari 2022) memperbarui laporannya terkait TrickBot. Sejak lama peneliti AdvIntel melacak “trojan.Win32” aka “Trickster” aka “TrickLoader”ini yang memiliki kemampuan mencuri informasi, mengembangkan botnet, dan membawa ransomware Ryuk/Conti.

Menurut peneliti, ketika para pesaingnya menurun karena dikejar-kejar aparat hukum, ransomware Conti naik daun. “Dan, tiba-tiba TrickBot, secara resmi mitra Conti, berubah menjadi ‘anak perusahaannya’,” ujar peneliti di blog perusahaan, diakses Minggu (27 Februari).

“Pada saat yang sama, Conti menjadi satu-satunya pengguna akhir produk botnet TrickBot. Pada akhir 2021, Conti pada dasarnya mengakusisi TrickBot dengan beberapa pengembang dan manajer elit bergabung dengan ransomware ini,” tutur peneliti.

CEO AdvIntel Vitali Kremez kepada BleepingComputer mengatakan, geng TrikckBot menutup seluruh infrastruktur operasi malware-nya. Operator ransomware Conti, kata dia, sekarang mengontrol pengembangan malware TrickBot untuk kebutuhan mereka.

“TrickBot yang awalnya untuk penipuan, sekarang berfokus hampir seluruhnya pada ransomware dan pembobolan jaringan,” ujar Kremez.

Diserang AS dan Microsoft

Pada Oktober 2020, geng TrickBot mendapat serangan dari Komando Siber Amerika Serikat dan Microsoft. Namun, penangkapan dua tersangka pengembang TrickBot tak membuat mereka berhenti beroperasi hingga 2021.

Namun, sejak 28 Desember 2021 hingga 17 Februari 2022, peneliti Intel 471 belum melihat aktivitas serangan baru mereka.

“Istirahat panjang ini bisa dianggap tak biasa,” ujar peneliti Intel 471 di blog perusahaan, Kamis (24 Februari).

“Tim kami dengan keyakinan tinggi menilai istirahat panjang ini sebagian disebabkan oleh pergeseran besar dari operator TrickBot, termasuk bekerja dengan operator malware Emotet,” peneliti menambahkan.

Menurut peneliti Intel 471, TrickBot dan Emotet memiliki hubungan erat. Emotet sering digunakan untuk menjatuhkan sampel TrickBot.

Meski belum dapat mengkonfirmasi, peneliti Intel 471 berkeyakinan kuat, “Kemungkinan operator Trickbot telah menghapus malwarenya dari operasi mereka demi platform lain, seperti Emotet. Trickbot, bagaimanapun, adalah malware yang relatif lama yang belum diperbarui secara besar-besaran. Tingkat deteksi tinggi dan lalu lintas jaringan dari komunikasi bot-nya mudah dikenali,” tulis peneliti.

Migrasi ke BazarBackdoor?

Kelompk TrickBot juga memiliki hubungan dengan keluarga malware BazarBackdoor. Beberapa peretas memanfaatkan backdoor tersembunyi ini untuk mendapatkan pijakan awal peretasan dan mengeksekusi muatan selanjutnya, seperti “Cobalt Strike” dan “IceID” aka “Bokbot”.

“Kami melihat pengendali Bazar mendorong perintah untuk mengunduh dan mengeksekusi TrickBot (pada medio 2021) dan Emotet (November 2021),” tulis peneliti Intel 471.

“Pengamatan ini merupakan indikator lain bahwa bot TrickBot sedang bermigrasi ke platform malware lainnya,” peneliti menambahkan.

Hal serupa juga ditemukan peneliti AdvIntel, bahwa “TrickBot masih beroperasi, namun, botnet mencapai batasnya. Menurut intelijen sumber sensitif kami, ketersediaan TrickBot IOC telah membuatnya sangat terdeteksi, inilah yang menyebabkan Conti tidak lagi menggunakannya,” tulis AdvIntel.

Menurut AdvIntel, geng Conti kini mempekerjakan anggota top TrickBot, dan sekarang dapat berinvestasi dalam produk yang lebih baru dan lebih baik.

“BazarBackdoor, malware pengganti TrickBot yang lebih baru dan tersembunyi, sekarang sedang dimanfaatkan pada target bernilai tinggi,” tutur AdvIntel.

BazarBackdoor sebelumnya bagian dari gudang senjata TrickBot, tetapi sekarang telah menjadi alat sendiri.

Dengan indikasi itu, AdvIntel memiliki keyakinan kuat bahwa “Saga (petualangan) empat tahun TrickBot sekarang akan segera berakhir,” katanya.

“Namun, orang-orang yang telah memimpin TrickBot tidak akan hilang begitu saja. Setelah "diakuisisi" oleh Conti, mereka sekarang ‘aman’ di bawah mereka,” AdvIntel menambahkan.[]

Redaktur: Andi Nugroho