TrickBot stoi za kradzieżą kryptowalut i wymuszeniami o wartości ponad 724 milionów dolarów

Cyberprzestępcy intensyfikują swoje taktyki, wykraczając poza tradycyjne szyfrowanie danych i stosując bardziej agresywne podejście, znane jako poczwórne wymuszenie. Ten niepokojący trend został opisany w najnowszym raporcie Ransomware Report 2025: Building Resilience Amid a Volatile Threat Landscape, opublikowanym dziś przez Akamai, wiodącą firmę zajmującą się cyberbezpieczeństwem i chmurą obliczeniową.

Raport ujawnia, że choć podwójne wymuszenia (technika, w której atakujący szyfrują dane i grożą ich wyciekiem w przypadku braku zapłaty okupu) są nadal powszechne, pojawiające się poczwórne wymuszenia zwiększają presję. Obejmuje to stosowanie ataków typu „rozproszona odmowa usługi” (DDoS ) w celu zablokowania działalności ofiary oraz nękanie osób trzecich, takich jak klienci, partnerzy biznesowi, a nawet media, w celu zwiększenia żądań zapłaty.

„Dzisiejsze zagrożenia ransomware nie ograniczają się już tylko do szyfrowania” – stwierdził Steve Winterfeld, doradca ds. bezpieczeństwa informacji w firmie Akamai. Podkreślił, że atakujący wykorzystują teraz „kradzież danych, ujawnienie informacji publicznie i przerwy w działaniu usług, aby zwiększyć presję na ofiary”, zamieniając cyberataki w poważne kryzysy biznesowe.

Raport Akamai podkreśla również inne istotne zmiany w świecie cyberprzestępczości. Generatywna sztuczna inteligencja i duże modele językowe ( LLM ) ułatwiają osobom o mniejszych umiejętnościach technicznych przeprowadzanie złożonych ataków ransomware, pomagając im pisać złośliwy kod i udoskonalać techniki socjotechniczne. W raporcie wskazano w szczególności, że grupy takie jak Black Basta i FunkSec, wraz z innymi platformami RaaS , szybko wdrażają sztuczną inteligencję i rozwijają swoje taktyki wymuszeń.

Ponadto grupy hybrydowe , łączące motywy hakerów z ransomware, coraz częściej korzystają z platform ransomware-as-a-service (RaaS). Platformy te umożliwiają osobom fizycznym lub grupom wynajem dostępu do narzędzi i infrastruktury ransomware, wzmacniając ich wpływ z różnych powodów politycznych, ideologicznych i finansowych. Przykładem jest Dragon RaaS, który powstał w 2024 roku z inicjatywy grupy Stormous, a obecnie koncentruje się na mniejszych i mniej bezpiecznych organizacjach.

Badania wskazują, że niektóre sektory są szczególnie narażone. Prawie połowa wszystkich ataków kryptograficznych, polegających na ukrytym wykorzystaniu zasobów komputerowych ofiary do kopania kryptowalut, była wymierzona w organizacje non-profit i edukacyjne. Wynika to prawdopodobnie z faktu, że organizacje te często przeznaczają mniej zasobów na cyberbezpieczeństwo.

Od dziesięcioleci złośliwe oprogramowanie Trickbot znane jest z przechwytywania transakcji kryptowalutowych , a szkody finansowe wyrządzone przez te grupy w końcu zaczynają być widoczne. Rodzina złośliwego oprogramowania TrickBot, szeroko wykorzystywana przez grupy ransomware, sama w sobie była odpowiedzialna za wyłudzenie od ofiar ponad 724 milionów dolarów w kryptowalutach od 2016 roku.

Chociaż infrastruktura Trickbota została zdemontowana w 2020 r., zespół Guardicore Hunt Team firmy Akamai niedawno wykrył jego wciąż podejrzaną aktywność w systemach kilku klientów.

Szkodliwe oprogramowanie TrickBot rozprzestrzenia się głównie za pośrednictwem wiadomości phishingowych, które wyglądają jak legalne wiadomości od banków, firm kurierskich lub agencji rządowych. Wiadomości te zawierają złośliwe załączniki, takie jak pliki Word lub Excel, lub linki do zainfekowanych stron internetowych. Po otwarciu jednego z tych załączników użytkownik może zostać poproszony o włączenie makr . W takim przypadku w tle uruchamiane są złośliwe skrypty, które po cichu instalują TrickBota w systemie.

Oprócz phishingu, TrickBot może wykorzystywać niezałatane luki w zabezpieczeniach oprogramowania. Jeśli system nie został zaktualizowany o najnowsze poprawki bezpieczeństwa, złośliwe oprogramowanie może wykorzystać te luki, aby uzyskać dostęp do sieci lub ją rozprzestrzenić. TrickBot często jest również dostarczany przez inne złośliwe oprogramowanie, zwłaszcza Emotet lub QakBot . Działają one jak moduły ładujące, przygotowując infekcję, dzięki której TrickBot może podążać za nim.

Po uzyskaniu dostępu TrickBot zbiera dane logowania, mapuje połączone systemy i infekuje inne maszyny. Ten łańcuch infekcji pozwala mu gromadzić więcej danych, a czasem nawet wdrażać ransomware.

James A. Casey, wiceprezes i dyrektor ds. prywatności w firmie Akamai, podkreślił znaczenie silnych środków cyberbezpieczeństwa, zgłaszania incydentów oraz skutecznych strategii zarządzania ryzykiem, takich jak Zero Trust i mikrosegmentacja, dla budowania odporności na te ewoluujące zagrożenia. Podkreślił, że organizacje muszą być na bieżąco i dostosowywać swoje mechanizmy obronne, aby przeciwdziałać zmieniającym się taktykom cyberwymuszeń.