Специалисты заметили новую тенденцию на киберпреступной сцене.
На сегодняшний день банковские трояны считаются одной из основных угроз для пользователей и организаций. Только в 2018 году специалисты зафиксировали порядка 900 тыс. атак с использованием данного вида вредоносного ПО. Zeus, Redaman, BackSwap, Emotet, Gozi и Ramnit – только некоторые из наиболее «знаменитых» семейств. До недавнего времени между организаторами вредоносных кампаний велась конкурентная борьба, однако эксперты команды IBM X-Force заметили новую тенденцию – киберпреступные группировки начали объединять усилия для распространения банковских троянов.
Одним из примеров такого сотрудничества являются трояны Trickbot и IcedID, наряду с Gozi и Ramnit вошедшие в число наиболее активных в 2018 году. Trickbot, автором которого предположительно является русскоязычная группировка, в основном использовался в атаках на банки и финансовые организации, однако в минувшем году его операторы расширили поле деятельности, включив в список атакуемых объектов различные сайты электронной коммерции и криптовалютные биржи.
По словам исследователей, в мае 2018 года Trickbot начал загружать троян IcedID, ранее распространявшийся с помощью трояна Emotet. Спустя три месяца IcedID претерпел некоторые изменения и функционально стал напоминать Trickbot. В частности, разработчики модифицировали бинарный файл, уменьшив его в размерах, и добавили возможность загружать плагины по требованию. Хотя вирусописатели иногда заимствуют наработки друг у друга, в данном случае изменения не случайны и указывают на сотрудничество между группировками, отметили исследователи.
Троян Gozi – еще один ключевой игрок на киберпреступной сцене. Первые версии вредоноса были обнаружены еще в 2007 году, а утечка его исходного кода в 2010 году привела к появлению различных троянов, активных по сей день. На сегодняшний день существуют две основные версии вредоноса – Gozi v.2 и Gozi v.3. Первая в основном используется в атаках на крупные финансовые компании, а вторая – на банки в Австралии и Новой Зеландии.
По данным специалистов, операторы Gozi сотрудничают с операторами вредоносного ПО URLZone. В рамках прошлогодней кампании последний загружал трояны Cutwail и Gozi, использовавшиеся для формирования ботнета, создания бэкдоров и кражи информации.
Операторы трояна Ramnit также не брезгуют сотрудничеством с другими группировками. Ramnit активен с 2010 года и изначально представлял собой червь для заражения ПК, сетей и съемных накопителей, однако со временем эволюционировал в модульный банковский троян, который сейчас распространяется с помощью наборов эксплоитов Angler и RIG.
В 2015 году правоохранительные органы отключили ботнет Ramnit, однако спустя три года троян вернулся на киберпреступную сцену, причем с «партнером» – вредоносным ПО Ngioweb, действующим в качестве прокси-сервиса. В ходе вредоносной кампании всего за два месяца троянами оказались заражены порядка 100 тыс. устройств. По мнению экспертов, целью кратковременного сотрудничества между операторами вредоносов являлось создание ботнета по размеру аналогичного печально известному Gameover Zeus.
