TrickBot стоит за кражей криптовалюты и вымогательством на сумму более 724 миллионов долларов

Киберпреступники совершенствуют свою тактику, выходя за рамки традиционного шифрования данных и применяя более агрессивный подход, известный как «четверное вымогательство». Эта тревожная тенденция подробно описана в последнем отчёте «Программы-вымогатели 2025: формирование устойчивости в условиях нестабильной ситуации с угрозами», опубликованном сегодня компанией Akamai, ведущей компанией в области кибербезопасности и облачных вычислений.

В отчёте говорится, что, хотя двойное вымогательство (приём, при котором злоумышленники шифруют данные и угрожают их утечкой в случае неуплаты выкупа) остаётся распространённым, появляющееся четвёрное вымогательство создаёт дополнительные уровни давления. Это включает в себя использование распределённых атак типа «отказ в обслуживании» (DDoS ) для остановки деятельности жертвы и преследование третьих лиц, таких как клиенты, деловые партнёры и даже СМИ, с целью повышения требований к оплате.

«Сегодня угрозы программ-вымогателей связаны не только с шифрованием», — заявил Стив Винтерфельд, руководитель отдела информационной безопасности Akamai. Он подчеркнул, что злоумышленники теперь используют «украденные данные, публичную огласку и перебои в работе сервисов для усиления давления на жертв», превращая кибератаки в серьёзные бизнес-кризисы.

В отчёте Akamai также освещаются другие важные события в мире киберпреступности. Генеративный ИИ и большие языковые модели ( LLM ) упрощают запуск сложных атак с использованием программ-вымогателей для людей с низким уровнем технических навыков, помогая им писать вредоносный код и совершенствовать методы социальной инженерии. В отчёте особо отмечается, что такие группы, как Black Basta и FunkSec, а также другие платформы RaaS , быстро внедряют ИИ и совершенствуют свои тактики вымогательства.

Кроме того, гибридные группы, сочетающие в себе мотивы хакеров-активистов и разработчиков программ-вымогателей, всё чаще используют платформы «программы-вымогатели как услуга» (RaaS). Эти платформы позволяют отдельным лицам или группам арендовать доступ к инструментам и инфраструктуре программ-вымогателей, усиливая своё влияние по ряду политических, идеологических и финансовых причин. Примером может служить Dragon RaaS, созданная в 2024 году группой Stormous и теперь ориентированная на небольшие и менее защищённые организации.

Исследование показывает, что некоторые секторы особенно уязвимы. Почти половина всех атак с использованием криптомайнинга, включающих тайное использование ресурсов компьютера жертвы для майнинга криптовалюты, была направлена на некоммерческие и образовательные организации. Вероятно, это связано с тем, что у этих организаций зачастую меньше ресурсов, выделяемых на кибербезопасность.

Вредоносное ПО Trickbot уже несколько десятилетий известно своей способностью перехватывать криптовалютные транзакции , и финансовый ущерб, наносимый этими группами, наконец-то стал достоянием общественности. Семейство вредоносных программ TrickBot, широко используемое группировками, занимающимися вымогательством, с 2016 года в одиночку похитило у жертв более 724 миллионов долларов в криптовалюте.

Хотя инфраструктура Trickbot была демонтирована в 2020 году, группа по борьбе с вредоносным ПО Guardicore Hunt Team компании Akamai недавно обнаружила его продолжающуюся подозрительную активность в нескольких клиентских системах.

Вредоносное ПО TrickBot распространяется преимущественно через фишинговые письма, которые выглядят как легитимные письма от банков, служб доставки или государственных учреждений. Эти письма содержат вредоносные вложения, такие как файлы Word или Excel, или ссылки на взломанные веб-сайты. При открытии такого вложения пользователю может быть предложено включить макросы . В этом случае вредоносные скрипты запускаются в фоновом режиме и незаметно устанавливают TrickBot в систему.

Помимо фишинга, TrickBot может эксплуатировать неисправленные уязвимости программного обеспечения. Если система не обновлена до последних обновлений безопасности, вредоносное ПО может использовать эти уязвимости для получения доступа к сети или распространения по ней. TrickBot также часто доставляется другими вредоносными программами, особенно Emotet или QakBot . Они действуют как загрузчики, подготавливая заражение, по которому TrickBot может последовать за ним.

Получив доступ, TrickBot собирает учётные данные, составляет карту подключённых систем и заражает другие машины. Эта цепочка заражения позволяет ему собирать дополнительные данные, а иногда даже внедрять программы-вымогатели.

Джеймс А. Кейси, вице-президент и директор по конфиденциальности компании Akamai, подчеркнул важность эффективных мер кибербезопасности, отчётности об инцидентах и стратегий управления рисками, таких как Zero Trust и микросегментация, для повышения устойчивости к этим меняющимся угрозам. Он подчеркнул, что организации должны быть в курсе последних событий и адаптировать свои средства защиты для противодействия меняющейся тактике кибервымогательства.