Microsoft, junto con una coalición formada por FS-ISAC, ESET, Lumen Black Lotus Labs, NTT y Symantec, ha logrado interrumpir la infame botnet Trickbot, uno de los principales vectores de distribución de ransomware en todo el mundo.
El esfuerzo coordinado fue posible gracias a una orden judicial obtenida por Microsoft en los EE. UU., Junto con acciones técnicas tomadas en asociación con operadores de telecomunicaciones de todo el mundo. Como resultado, la infraestructura clave utilizada por los operadores de Trickbot ahora se ha cortado, por lo que la botnet ya no se puede usar para iniciar nuevas infecciones o activar ransomware que ya se ha eliminado.
Tom Burt, CVP de seguridad y confianza del cliente de Microsoft, dijo que Trickbot había infectado aproximadamente un millón de dispositivos en todo el mundo durante su vida, y aunque se desconoce la identidad exacta de sus operadores, es probable que presten servicios a múltiples pagadores, incluidos los gobiernos nacionales y los ciberdelincuentes. actores.
«En el curso de la investigación de Microsoft sobre Trickbot, analizamos aproximadamente 61.000 muestras de malware Trickbot», dijo Burt en un blog de divulgación. “Lo que lo hace tan peligroso es que tiene capacidades modulares que evolucionan constantemente, infectando a las víctimas para los propósitos de los operadores a través de un modelo de ‘malware como servicio’.
“Sus operadores podrían proporcionar a sus clientes acceso a máquinas infectadas y ofrecerles un mecanismo de entrega para muchas formas de malware, incluido el ransomware. Más allá de infectar las computadoras de los usuarios finales, Trickbot también ha infectado una serie de cosas de Internet [IoT] dispositivos, como enrutadores, que ha extendido el alcance de Trickbot a hogares y organizaciones.
“Además de mantener las capacidades modulares para una variedad de propósitos finales, los operadores han demostrado ser expertos en cambiar técnicas basadas en los desarrollos de la sociedad. Las campañas de spam y spear phishing de Trickbot, que se utilizan para distribuir malware, han incluido temas como Black Lives Matter y Covid-19, que incitan a las personas a hacer clic en documentos o enlaces maliciosos. Según los datos que vemos a través de la detección avanzada de amenazas de Microsoft Office 365, Trickbot ha sido la operación de malware más prolífica que utiliza señuelos con temática de Covid-19 «.
Trickbot apareció por primera vez en 2016 como sucesor del troyano bancario Dyre, diseñado para robar credenciales bancarias, pero durante un período de cuatro años, sus operadores construyeron una botnet sustancial y el malware original evolucionó hasta convertirse en un malware modular que se puso a disposición como -un servicio para los ciberdelincuentes, a quienes se les dio acceso a la botnet para usar como punto de entrada para instalar herramientas de reconocimiento como PowerShell Empire, Metasploit y Cobalt Strike. Luego, estos se usaron para robar credenciales, exfiltrar datos e implementar cargas útiles adicionales, especialmente el ransomware Ryuk.
La mayoría de las veces se entregó en campañas de correo electrónico maliciosas utilizando eventos actuales y señuelos financieros para engañar a sus objetivos y hacer clic en enlaces o abrir archivos adjuntos, generalmente documentos de Excel o Word que contienen macros maliciosas. Las campañas se observaron en múltiples verticales y en todo el mundo, y los operadores a menudo reutilizaban cuentas de correo electrónico previamente comprometidas de campañas anteriores. También se implementó a través del movimiento lateral a través de Server Message Block (SMB) o como la carga útil de la segunda etapa de un ataque Emotet.
Jean-Ian Boutin, jefe de investigación de amenazas en ESET, dijo: “A lo largo de los años que lo hemos rastreado, los compromisos de Trickbot se han informado de manera constante, lo que la convierte en una de las redes de bots más grandes y longevas que existen. Trickbot es una de las familias de malware bancario más frecuentes, y esta cepa de malware representa una amenaza para los usuarios de Internet a nivel mundial.
«Tratar de interrumpir esta elusiva amenaza es muy desafiante ya que tiene varios mecanismos de respaldo, y su interconexión con otros actores criminales cibernéticos altamente activos en la clandestinidad hace que la operación general sea extremadamente compleja».
Microsoft dijo que durante su investigación, había identificado nuevos detalles operativos sobre la infraestructura que Trickbot usaba para comunicarse y controlar las computadoras de sus víctimas, cómo las computadoras hablaban entre sí y los mecanismos que implementó para evadir la detección y detener a los equipos de seguridad. interrumpirlo.
También descubrió las direcciones IP precisas de los servidores de Trickbot, que demostraron ser información crucial para asegurar la orden judicial que permitió a Microsoft y sus socios deshabilitarlos, poner el contenido almacenado en los servidores de comando y control (C2) más allá de su uso, suspender servicios. a los operadores de Trickbot, y bloquee cualquier esfuerzo de ellos para comprar o alquilar nuevos.
El caso también incluyó reclamos de derechos de autor contra el uso malicioso de Trickbot del código de software de Microsoft, que Burt dijo que era un paso importante en la lucha contra el malware porque ahora tiene un precedente para emprender acciones civiles contra los delincuentes cibernéticos en países que cuentan con tales leyes.
“Anticipamos completamente que los operadores de Trickbot harán esfuerzos para reactivar sus operaciones y trabajaremos con nuestros socios para monitorear sus actividades y tomar medidas legales y técnicas adicionales para detenerlos”, dijo Burt.