Microsoft y otras empresas tecnológicas eliminaron la botnet TrickBot
Han transcurrido algunos días después de que el gobierno de los Estados Unidos tomara medidas para interrumpir la notoria botnet TrickBot. Ahora, un grupo de empresas de ciberseguridad y tecnología ha detallado un esfuerzo coordinado por separado para eliminar la infraestructura de back-end del malware.
La colaboración conjunta, que involucró a la Unidad de Delitos Digitales de Microsoft, Black Lotus Labs de Lumen y ESET. También participaron el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC), NTT y Symantec de Broadcom. La acción se llevó a cabo después de que la solicitud de detener las operaciones de TrickBot fuera concedida por un tribunal. Específicamente por el Tribunal de Distrito de los Estados Unidos por el Distrito Este de Virginia.
El desarrollo se produce después de que el Comando Cibernético de Estados Unidos Montó una campaña para frustrar la propagación de TrickBot. Esto fue producto de las preocupaciones de los ataques de ransomware dirigidos a los sistemas de votación antes de las elecciones presidenciales del próximo mes. KrebsOnSecurity informó por primera vez de los intentos destinados a obstaculizar la botnet a principios de este mes.
Microsoft y sus socios analizaron más de 186,000 muestras de TrickBot, usándolas para rastrear la infraestructura de comando y control (C2) del malware. Estas eran muestran de malware usadas para comunicarse con las máquinas víctimas e identificar. El propósito del análisis era identificar las direcciones IP de los servidores C2 y otros TTP aplicados para evadir la detección.
Microsoft en acción
“Con esta evidencia, el tribunal otorgó la aprobación para que Microsoft y nuestros socios deshabiliten las direcciones IP. También para hacer inaccesible el contenido almacenado en los servidores de comando y control y suspender todos los servicios a los operadores de botnets. Y bloquear cualquier esfuerzo de los operadores de TrickBot para comprar o arrendar servidores adicionales”, afirmó Microsoft.
Desde su origen como un troyano bancario a finales de 2016, TrickBot se ha convertido en una navaja suiza capaz de robar información confidencial. Incluso puede enviar ransomware y kits de herramientas de post-explotación en dispositivos comprometidos, además de reclutarlos en una familia de bots.
“A lo largo de los años, los operadores de TrickBot pudieron construir una botnet masiva. El malware evolucionó hasta convertirse en un malware modular disponible para malware como servicio“, dijo Microsoft.
“La infraestructura de TrickBot se puso a disposición de los ciberdelincuentes que usaban la botnet como punto de entrada para campañas operadas por humanos. La botnet incluía ataques que robaban credenciales, exfiltraban datos y desplegaba payloads adicionales, sobre todo el ransomware Ryuk, en las redes objetivo”.
Por lo general, se enviaba a través de campañas de phishing que aprovechan los eventos actuales o los señuelos financieros. Esto para atraer a los usuarios a abrir archivos adjuntos maliciosos o hacer clic en enlaces a sitios web que alojan el malware. TrickBot también se ha implementado como un payload de segunda etapa de otra nefasta botnet llamada Emotet.
La operación de ciberdelito ha infectado a más de un millón de computadoras hasta la fecha.
Puede rectivarse
Microsoft, sin embargo, advirtió que no esperaba que la última acción interrumpiera permanentemente TrickBot. Agregó que los ciberdelincuentes detrás de la botnet probablemente harán esfuerzos para reactivar sus operaciones.
Según Feodo Tracker, con sede en Suiza, ocho servidores de control TrickBot, algunos de los cuales se vieron por primera vez la semana pasada, todavía están en línea después de la eliminación.