Trubot: nuova versione distribuisce il ransomware Clop

Trubot: nuova versione distribuisce il ransomware Clop

Negli ultimi mesi sono aumentati gli attacchi con una nuova versione della botnet Trubot che distribuisce diversi malware, tra cui il ransomware Clop.
Negli ultimi mesi sono aumentati gli attacchi con una nuova versione della botnet Trubot che distribuisce diversi malware, tra cui il ransomware Clop.

I ricercatori di Cisco Talos hanno rilevato un numero crescente di attacchi con la botnet Trubot e l’uso di nuove tecniche per distribuire i malware, tra cui il ransomware Clop. Gli autori sono i cybercriminali russi del Silence Group, probabilmente associati con il gruppo Evil Corp. Fortunatamente è sufficiente installare una soluzione di sicurezza per bloccare queste minacce.

Nuova versione di Trubot

Trubot è stata identificata per la prima volta nel 2017. A partire da agosto 2022 sono aumentati gli attacchi effettuati con tecniche diverse dal classico phishing e nuovi malware. Gli esperti di Cisco Talos ha scoperto due versioni della botnet. Una è stata distribuita in tutto il mondo, mentre quella più recente ha colpito soprattutto gli Stati Uniti. I bersagli principali sono le istituzioni finanziarie.

La prima botnet è stata distribuita sfruttando una vulnerabilità del tool Netwrix Auditor e, dal mese di ottobre, con il malware Raspberry Robin. Per la seconda non è noto il vettore di attacco. In totale sono stati infettati oltre 1.500 sistemi in diversi paesi, Italia inclusa.

La nuova versione di Trubot utilizza diversi malware per raccogliere informazioni sulla rete e rubare i dati. Uno di essi è Teleport che comunica con il server C2 (command and control) in forma cifrata. L’operatore remoto può impostare diversi parametri, come la velocità di upload e la dimensione massima dei file da esfiltrare per non destare sospetti.

I profitti dei cybercriminali derivano principalmente dalla doppia estorsione effettuata con il ransomware Clop. Dopo aver rubato i dati viene avviata la cifratura, al termine della quale appare la richiesta di riscatto. Come detto, tutti i malware utilizzati negli attacchi vengono rilevati dalla maggioranza delle soluzioni di sicurezza sul mercato.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 12 dic 2022
Link copiato negli appunti