|
미국, TrickBot 악성 코드 개발자 구속하다 침해사고분석팀 2021.06.08 |
|
|
미국 법무부(DOJ)는 오늘 라트비아인이 초국가적 사이버 범죄 조직 Trickbot에서 멀웨어 개발자 역할을 한 혐의로 기소되었다고 발표했다.
Alla Witte(일명 Max)는 2월 6일 플로리다 마이애미에서 체포된 후 47건 중 19건의 혐의로 기소되었다. Trickbot 멀웨어 개발자인 Witte는 랜섬웨어 지불을 제어, 배포 및 관리하기 위해 멀웨어가 사용하는 코드를 작성했다고 DOJ는 발표된 보도 자료에서 밝혔다.
Witte는 또한 Trickbot 그룹에 승인된 멀웨어 사용자를 모니터링 및 추적하는데 필요한 코드를 제공했으며 피해자의 네트워크에서 도난당한 로그인 자격 증명을 저장하는데 필요한 도구와 프로토콜을 개발했다.
이 사건은 증가하는 랜섬웨어 및 디지털 갈취 공격에 맞서기 위해 만들어진 FBI의 클리블랜드 사무소와 DOJ의 랜섬웨어 및 디지털 탈취 특수 팀에서 조사했다.
"Witte와 그녀의 동료들은 손상된 컴퓨터 시스템을 통해 궁극적으로 수백만 달러를 빼앗기 위해 금융 정보를 훔치려는 노력으로 전세계적으로 수천만 대의 컴퓨터를 감염시킨 혐의로 기소되었습니다."라고 FBI 특수 요원 Eric B. Smith가 말했다.  [그림1. Alla Witte 관련 트윗]
Trickbot은 2016년 10월에 새로운 모듈과 기능으로 지속적으로 업그레이드된 모듈식 뱅킹 트로이 목마로 처음 발견 된 악성 코드이다.
처음에는 민감한 데이터를 수집하는데만 사용되었지만 Trickbot은 감염된 장치에 일반적으로 훨씬 더 위험한 멀웨어 페이로드를 추가로 제공하는데 사용되는 매우 위험한 멀웨어 드롭퍼로 천천히 진화했다.
이는 모든 민감한 정보(시스템 정보, 자격 증명 및 모든 관심 파일)가 수집되어 공격자가 제어하는 서버로 유출된 후에 정기적으로 발생한다.
10월 12일, Microsoft와 여러 파트너는 일부 Trickbot C2를 중단했다고 발효했다.
미국 사이버 사령부는 또한 봇넷의 C2서버에서 차단하기 위해 감염된 장치에 구성 파일을 푸시하여 대통령 선거 전에 봇넷을 무력화시키려고 시도한 것으로 알려져있다.
그러나 TrickBot의 인프라에 대한 이러한 공격에도 불구하고 TrickBot 그룹의 봇넷은 여전히 활성화된 상태이며 그룹은 여전히 새로운 멀웨어 빌드를 출시하고 있다.
 [그림2. TrickBot 그룹의 제품들]
TrickBot 갱은 Ryuk 및 Conti 랜섬웨어를 중요한 표적의 손상된 네트워크에 배포하는 것으로 유명하다.
"Trickbot은 전세계적으로 수백만 대의 컴퓨터를 감염시켰으며 은행 자격 증명을 수집하고 랜섬웨어를 전달하는 데 사용되었습니다."라고 Lisa O. Monaco 부 검사장은 말했다.
"Trickbot 악성 코드는 전 세계 수백만 명의 개인 및 금융 정보를 훔쳐서 미국 및 해외의 중요한 인프라에 막대한 재정적 피해를 입히고 심각한 피해를 입히도록 설계되었습니다." 라고 덧붙였다.
출처 https://www.bleepingcomputer.com/news/security/us-charges-latvian-for-helping-develop-the-trickbot-malware/ |
