TrickBot: ameaça silenciosa às corporações
Com inteligência que pode desabilitar a ação do antivírus, o TrickBot instala um arquivo malicioso no dispositivo infectado e funciona como a porta de entrada para novos ataques, principalmente ransomware.
Uma década após o trojan bancário ZeuS, em 2005, deixar inúmeras máquinas infectadas com um objetivo: roubo de credenciais financeiras, surge o TrickBot, em 2016. Esta é uma evolução que utiliza os aspectos do código-base, porém é considerada um império de malware que concentra diversos padrões de plug-ins, bem como recursos de criptomineração — mantendo o propósito inicial.
Por ser um sistema modular, isto é, que hospeda várias ferramentas e funções que agem de maneiras diferentes, até ser encontrado, o TrickBot era de difícil identificação e contra-ataque. Isso porque utiliza uma inteligência que desabilita o antivírus para dificultar sua descoberta.
O vetor de infecção mais comum são as mensagens de e-mail SPAM. Ou seja, basta o usuário clicar em um link que parece inofensivo para instalar o malware na máquina.
A partir desse processo, o binário começa a enviar plug-ins contaminados para as demais pastas e arquivos do sistema, buscando informações de credenciais financeiras em suma ação.
Em uma ação mais complexa são aplicadas as “injeções da web”, quando os usuários, ao acessarem sites de instituições financeiras, são encaminhados a páginas de phishing — similares as originais — que interceptam as informações e roubam as credenciais de acesso do usuário.
Entretanto, o TrickBot não se limita apenas a primeira camada de fraudes bancárias — ele funciona como porta de acesso para outros tipos de crimes cibernéticos, principalmente o ransomware.
Esta arquitetura é desenvolvida para sequestrar as informações e exigir resgate da empresa que foi infectada.
Um exemplo são as famílias de ransomware Conti e Ryuk, que conseguiram, no mínimo, US$200 milhões em ações coordenadas, de acordo com a AdvIntel.
Evolução do malware e suas implicações para as empresas
Como uma das novas gerações do TrickBot, o BazarBackdoor passou a ser observado desde 2020.
Este consegue, com maior discrição e facilidade, invadir sistemas e deixá-los vulneráveis para a contaminação, abrindo caminho para outras ações de malware, como o Conti.
Impedir que seus dados estejam vulneráveis é uma necessidade imediata para qualquer negócio
Ameaças à segurança financeira de uma empresa ainda existem e milhões de dólares em dívida já foram gerados esse ano — você pode ler mais no nosso artigo sobre ciberataques e o meio financeiro.
Atitudes imediatas para a proteção dos dados e das informações de uma empresa são necessárias.
Essa política de segurança da informação pode ser diretamente atribuída a medidas de proteção de senhas, criptografia de dados sensíveis, e, principalmente, a manutenção dos sistemas atualizados quanto às novas ameaças, para identificar potenciais tentativas de ataques antes que aconteçam.
No caso específico do TrickBot, treinamento em Engenharia Social e Phishing de todos os colaboradores são indicados para que possam conhecer as técnicas mais comuns utilizadas pelos ciberatacantes e não serem utilizados como porta de entrada para ações hackers na empresa.
Como complemento, para mitigar a dinâmica contra as tentativas de contaminação por e-mail, é indicado contar com um gateway de proteção de e-mail, que irá identificar as mensagens maliciosas e bloqueá-las antes mesmo de chegarem à caixa dos usuários.
Contar com o gerenciamento de privilégios de acesso dos usuários também é uma camada de proteção, uma vez que cada um só está habilitado para os arquivos relacionados às suas atribuições.
O firewall complementa a proteção, uma vez que as soluções são capazes de bloquear ameaças complexas e responder aos incidentes a partir da criação de rotinas automatizadas.
Outra característica do firewall é a inteligência integrada. A partir da conexão na nuvem, ações identificadas em qualquer lugar do mundo são informadas aos sistemas, que adiciona o dado e consegue identificar caso o ambiente sofra uma invasão semelhante.
Para proteger o sistema empresarial e financeiro da sua corporação, a SECUREWAY oferece serviços e soluções de sigilo da informação, auxiliando diretamente na proteção de dados confidenciais e conseguindo gerar:
- Solução unificada para a descoberta, monitoramento e proteção dos dados;
- Maior prevenção através de sistemas de armazenamento, redes e endpoints;
- Redução de riscos e aumento da conformidade da empresa.