¿Qué es TrickBot?

Autor: | Última modificación: 22 de agosto de 2022 | Tiempo de Lectura: 3 minutos
Temas en este post:

¿Sabes qué es TrickBot y cómo se relaciona este término con algunos de los ransomwares más usados del mundo? Los ransomwares son programas maliciosos, cuya función es encriptar los archivos más importantes del ordenador de una víctima y cobrar una suma de dinero como rescate para recibir la clave de descifrado. No obstante, este tipo de malwares ha dado origen a toda una industria de operaciones ilegales que se basan en el uso de estos softwares.

En este post, hablaremos sobre uno de los grupos ilegales de hackers más persistentes de todos los tiempos. A continuación, te explicaremos qué es TrickBot y cuál ha sido la evolución de esta organización de ciberatacantes con el paso del tiempo.

¿Qué es TrickBot?

TrickBot es una organización ilegal de hackers, que ha cambiado de nombre y evolucionado con el paso del tiempo. Algunos de los alias bajo los cuales se conoce a esta organización son:

  • Wizard Spider.
  • Gold Blackburn.
  • TEMP .MixMaster.
  • Grim Spider.
  • UNC 1878.
  • Ryuk Group.
  • Conti Ransomware Gang.

Como quizás has podido notar, por los dos últimos pseudónimos, este grupo es responsable por utilizar los ransomwares Ryuk y, actualmente, Conti para extorsionar a sus víctimas. A continuación, veremos el proceso de infección que caracteriza a los ataques de esta banda.

Proceso de infección con TrickBot

Ya hemos visto brevemente qué es TrickBot. Para entenderlo más en profundidad, veremos cómo es un proceso de infección tradicional de un ataque ejecutado por este grupo.

  1. Primero, TrickBot selecciona uno o varios vectores de ataque posibles para infectar a la víctima. Los más comunes son:
    1. Phishing.
    2. Troyanos.
    3. Vulnerabilidades de día cero.
    4. Maldoc.
    5. JavaScript.
  2. Después, viene un proceso característico de TrickBot, que consiste en exfiltrar datos y robar las credenciales privadas del usuario del ordenador.
  3. Posteriormente, ocurre la etapa de postexplotación, es decir, de moverse lateralmente a través de los servidores de una red, en búsqueda de archivos sensibles para cifrar. Esta es una característica propia de los ransomwares Ryuk y Conti.
  4. Luego, ocurre el despliegue del ransomware. En el caso de Conti, este le permite al atacante seleccionar detalladamente qué documentos de qué servidores encriptar y cuánto dinero exigirle a la víctima.
  5. Finalmente, viene la etapa de extorsión y negociación con la víctima, donde los atacantes buscan sacar la mayor cantidad de ganancia económica posible.

El grupo de hackers, TrickBot, se caracteriza también por contar con su propio software troyano, que toma el mismo nombre de la organización. Este virus es capaz de abrir un backdoor en el sistema infectado, por medio del cual ocurre la exfiltración de datos. Más adelante, en el ciberataque, TrickBot utiliza esta información para chantajear a sus víctimas.

Diferencia entre Ryuk y Conti

Ya sabes qué es TrickBot y cómo suelen ser sus ciberataques. Ahora, hablaremos sobre las dos variantes de ransomware por las que son más reconocidos. Ryuk y Conti son ransomwares con muchas similitudes de funcionamiento y de código. Ambos malwares son capaces de escanear la red de sus víctimas y, por eso, se especializan en atacar organizaciones. Tanto Ryuk como Conti cuentan con la función de moverse lateralmente entre los servidores de una red en la fase de postexplotación.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Sin embargo, la diferencia entre Ryuk y Conti es que el segundo permite escanear y moverse a través de la red de forma manual. Es decir, Conti le permite a los atacantes seleccionar los servidores y los archivos específicos que desean cifrar. Además, este acceso también sirve para espiar y robar dicha información, por lo que pueden amenazar a las víctimas con filtrar todo lo que hayan encontrado.

¿Cómo aprender más?

Ya has aprendido qué es TrickBot y cómo funcionan sus ciberataques. Si quieres saber más y convertirte en un analista de malware profesional, aquí tenemos el curso ideal para que inicies tu proceso de formación. Ingresa en nuestro Ciberseguridad Full Stack Bootcamp y especialízate en menos de 7 meses. ¿A qué sigues esperando? ¡Inscríbete ya!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!