Microsoft e outras empresas de tecnologia derrubam o botnet TrickBot

0
81

Dias depois que o governo dos EUA tomou medidas para interromper o famoso botnet TrickBot , um grupo de empresas de tecnologia e segurança cibernética detalhou um esforço coordenado separado para derrubar a infraestrutura de back-end do malware.

A colaboração conjunta, que envolveu a Unidade de Crimes Digitais da Microsoft , Black Lotus Labs da Lumen , ESET , Centro de Análise e Compartilhamento de Informações de Serviços Financeiros ( FS-ISAC ), NTT e Symantec da Broadcom , foi realizada após seu pedido para interromper as operações do TrickBot foi atendido pelo Tribunal Distrital dos EUA para o Distrito Leste da Virgínia.

O desenvolvimento ocorre depois que o US Cyber ​​Command montou uma campanha para impedir a disseminação do TrickBot sobre as preocupações de ataques de ransomware contra sistemas de votação antes das eleições presidenciais do mês que vem. As tentativas de impedir o botnet foram relatadas pela primeira vez por KrebsOnSecurity no início deste mês.

A Microsoft e seus parceiros analisaram mais de 186.000 amostras de TrickBot, usando-o para rastrear a infraestrutura de comando e controle (C2) do malware empregada para se comunicar com as máquinas das vítimas e identificar os endereços IP dos servidores C2 e outros TTPs aplicados para evitar a detecção.

malware trickbot

“Com essa evidência, o tribunal concedeu aprovação para a Microsoft e nossos parceiros desabilitarem os endereços IP, tornar o conteúdo armazenado nos servidores de comando e controle inacessíveis, suspender todos os serviços para os operadores de botnet e bloquear qualquer esforço dos operadores TrickBot para comprar ou alugar servidores adicionais “, disse a Microsoft.

Desde sua origem como um Trojan bancário no final de 2016, o TrickBot evoluiu para um canivete suíço capaz de furtar informações confidenciais e até mesmo jogar ransomware e kits de ferramentas pós-exploração em dispositivos comprometidos, além de recrutá-los para uma família de bots.

“Com o passar dos anos, os operadores do TrickBot conseguiram construir um grande botnet, e o malware evoluiu para um malware modular disponível para malware como serviço”, disse a Microsoft.

“A infraestrutura TrickBot foi disponibilizada para cibercriminosos que usaram o botnet como um ponto de entrada para campanhas operadas por humanos, incluindo ataques que roubam credenciais, exfiltram dados e implantam cargas úteis adicionais, principalmente Ryuk ransomware, em redes alvo.”

Normalmente entregue por meio de campanhas de phishing que aproveitam eventos atuais ou iscas financeiras para atrair os usuários a abrir anexos de arquivos maliciosos ou clicar em links para sites que hospedam o malware, o TrickBot também foi implantado como uma carga útil de segundo estágio de outro botnet nefasto chamado Emotet .

A operação do cibercrime já infectou mais de um milhão de computadores até o momento.

A Microsoft, no entanto, alertou que não espera que a ação mais recente interrompa permanentemente o TrickBot, acrescentando que os cibercriminosos por trás do botnet provavelmente farão esforços para reativar suas operações.

De acordo com o Feodo Tracker , da Suíça , oito servidores de controle TrickBot, alguns dos quais foram vistos pela primeira vez na semana passada, ainda estão online após a queda.

Gostou deste conteúdo? Deixe o seu melhor comentário.

Até a próxima!

Deixe o seu melhor comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.