2021年初頭に各国当局の協同オペレーションによって悪名高いマルウェア「Emotet」は活動停止に追い込まれた。これにとって代わるように「TrickBot」が世界で最も猛威を振るうマルウェアとなった。しかし、いったん活動を広めたEmotetは2021年終わりにはTrickBotを利用する形で再度感染を広め、現在、世界で最も利用されているマルウェアへ返り咲いている。そして今度は、2021年にはマルウェアランキング1位を維持していたTrickBotが消滅しようとしている。
Malwarebytesは2月28日(米国時間)、「TrickBot takes down server infrastructure after months of inactivity|Malwarebytes Labs」において、いくつかの状況からTrickBotが消滅しようとしていると伝えた。各国協同オペレーションなどが行われたわけではないが、TrickBotが自発的にその活動を閉じようとしているように見えると指摘されている。
-
TrickBot takes down server infrastructure after months of inactivity|Malwarebytes Labs
MalwarebytesはTrickBotが活動を終えようとしている理由として、次のような状況や推測される内情などを挙げている。
- 2022年2月24日にサーバインフラストラクチャのシャットダウンが確認された。新しいサーバの立ち上げが行われていない
- 2021年にTrickBotグループに詳しい人物が逮捕される事態が続出した。正体を隠しているとはいえ、同僚が逮捕され起訴されるのを見て不安を思えた関係者がいたと考えられる。TrickBotの管理者および開発者はすでにContiやほかのサイバー犯罪グループへ移籍した可能性がある
- TrickBotの高い検出率が続いている。開発されなくなったマルウェアはセキュリティソフトウェアによって検出されやすくなる
- 以前はTrickBotツールキットの一部として使われていたBazarLoaderが、完全に自立したツールとして発展し活用されている。BazarLoaderはContiが開発を引き継ぐ可能性が高く、TrickBotの必要性が低下している
- 2022年にTrickBotを使った新しい電子メールスパムキャンペーンが展開されていない
- 著名なセキュリティ研究者がTrickBotの終焉を予測している
サイバー犯罪者グループは高度に組織化されており、ビジネス組織と行動がよく似ている。組織同士で協同事業を行うこともあれば、組織間で人材が移動することもある。TrickBotの関係者はすでに瓦解してほかの組織へ移籍した可能性が指摘されており、Contiへ移った可能性が示唆されている。
TrickBotは2016年に開発が始まったマルウェア。当初はバンキング型トロイの木馬として開発されていたが、モジュラー型構造が採用されたため機能追加が容易であり、積極的な開発を通じてさまざまな活動を行うマルウェアへと成長。2018年にはトップレベルの脅威と認識されるに至っている。
今後別のアクターがTrickBotを引き継いで活動を再開する可能性もあるが、現状はTrickBotの終焉が示唆される状況にあると見られている。仮に、このままTrickBotが終焉した場合も、TrickBotが検出されなくなるまでには恐らく数年は必要になるだろうとMalwarebytesは指摘している。
