Informacje

Trickbot Lab / autor: Microsoft
Trickbot Lab / autor: Microsoft

Cyfrowe CSI, czyli DCU blokuje internetowych porywaczy

Zespół wGospodarce

Zespół wGospodarce

Portal informacji i opinii o stanie gospodarki

  • Opublikowano: 13 października 2020, 20:30

  • Powiększ tekst

DCU – Digital Crimes Unit - zespół do walki z cyberzagrożeniami Microsoft podjął skuteczne działania mające na celu zakłócenie działania botnetu o nazwie Trickbot - jednej z groźniejszych sieci botnetów na świecie, dystrybuującej oprogramowanie typu ransomware, czyli wirusy żądające okupu od zainfekowanych kont. Od 2016 roku udało mu się zarazić już ponad milion komputerów

Udało się to osiągnąć m.in. dzięki nakazowi sądowemu oraz szeregowi działań przeprowadzonych we współpracy z dostawcami usług telekomunikacyjnych na całym świecie. Eksperci odcięli kluczową infrastrukturę, dzięki czemu osoby obsługujące Trickbota nie będą już mogły inicjować nowych infekcji ani uruchamiać oprogramowania do wyłudzania okupów, które zostało już wpuszczone do zainfekowanych systemów komputerowych. W trakcie śledztwa zostało przeanalizowanych ok 61 tysięcy próbek złośliwego oprogramowania.

Jak ostrzegał rząd Stanów Zjednoczonych oraz niezależni eksperci, cyberataki typu ransomware mogą być jednym z największych zagrożeń dla zbliżających się wyborów.

Atakujący mogą użyć oprogramowania dla wymuszenia okupu, aby zainfekować system komputerowy używany do prowadzenia list wyborców lub raportowania wyników wyborów w nocy, przechwytując te systemy o określonej godzinie.

Dzisiaj podjęliśmy działania, aby zakłócić działanie botnetu Trickbot, jednego z najbardziej niesławnych botnetów na świecie i płodnych dystrybutorów oprogramowania ransomware. Zakłóciliśmy Trickbota na podstawie uzyskanego orzeczenia sądowego oraz działań technicznych, które wykonaliśmy we współpracy z dostawcami usług telekomunikacyjnych na całym świecie. Odcięliśmy teraz kluczową infrastrukturę, aby osoby obsługujące Trickbota nie mogły już inicjować nowych infekcji ani aktywować oprogramowania ransomware, które zostało już zainstalowane w systemach komputerowych - komentuje Tom Burt - Corporate Vice President, Customer Security & Trust, Microsoft.

Oprócz ochrony infrastruktury wyborczej przed atakami ransomware, dzisiejsze działanie ochroni wiele organizacji, w tym instytucje usług finansowych, agencje rządowe, placówki opieki zdrowotnej, firmy i uniwersytety przed różnymi infekcjami złośliwym oprogramowaniem, które umożliwia Trickbot.

Botnet Trickbot

Trickbot zainfekował ponad milion urządzeń komputerowych na całym świecie od końca 2016 roku. Chociaż dokładna tożsamość operatorów nie jest znana, badania sugerują, że służą one zarówno państwom narodowym, jak i sieciom przestępczym do różnych celów. W trakcie dochodzenia firmy Microsoft w sprawie Trickbota przeanalizowaliśmy około 61 000 próbek złośliwego oprogramowania Trickbot. To, co czyni go tak niebezpiecznym, to fakt, że ma modułowe możliwości, które nieustannie ewoluują, infekując ofiary na potrzeby operatorów poprzez model „złośliwego oprogramowania jako usługi”. Jego operatorzy mogliby zapewnić swoim klientom dostęp do zainfekowanych maszyn i zaoferować im mechanizm dostarczania wielu form złośliwego oprogramowania, w tym ransomware. Oprócz infekowania komputerów użytkowników końcowych Trickbot zainfekował również szereg urządzeń „Internetu rzeczy”, takich jak routery, co rozszerzyło zasięg Trickbota na gospodarstwa domowe i organizacje.

Oprócz utrzymania możliwości modułowych do różnych celów końcowych, operatorzy wykazali się biegłością w zmienianiu technik w oparciu o rozwój społeczny. Kampanie spamerskie i phishingowe firmy Trickbot wykorzystywane do dystrybucji złośliwego oprogramowania obejmowały takie tematy, jak Black Lives Matter i COVID-19, zachęcając ludzi do klikania złośliwych dokumentów lub linków. Opierając się na danych, które widzimy dzięki zaawansowanemu wykrywaniu zagrożeń w usłudze Microsoft Office 365, Trickbot był najbardziej płodną operacją złośliwego oprogramowania wykorzystującą przynęty o tematyce COVID-19.

Microsoft utworzył międzynarodową grupę dostawców przemysłowych i telekomunikacyjnych. Digital Crimes Unit (DCU) prowadził dochodzenie, w tym wykrywanie, analizę, telemetrię i inżynierię odwróconą, z dodatkowymi danymi i spostrzeżeniami w celu wzmocnienia naszej sprawy prawnej z globalnej sieci partnerów, w tym FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT i Symantec, oddział Broadcom, oprócz naszego zespołu Microsoft Defender. Dalsze działania mające na celu naprawę ofiar będą wspierane przez dostawców usług internetowych (ISP) i zespoły ds. Gotowości na wypadek awarii komputerów (CERT) na całym świecie.

Ta akcja reprezentuje również nowe podejście prawne, które nasz DCU stosuje po raz pierwszy. Nasza sprawa obejmuje roszczenia dotyczące praw autorskich przeciwko złośliwemu wykorzystaniu przez Trickbota naszego kodu oprogramowania. Takie podejście jest ważnym krokiem w naszych wysiłkach na rzecz powstrzymania rozprzestrzeniania się złośliwego oprogramowania, umożliwiając nam podjęcie działań cywilnych w celu ochrony klientów w wielu krajach na całym świecie, w których obowiązują te przepisy. W pełni przewidujemy, że operatorzy Trickbota dołożą starań, aby ożywić swoją działalność i będziemy współpracować z naszymi partnerami w celu monitorowania ich działań i podjęcia dodatkowych kroków prawnych i technicznych, aby je powstrzymać - ocenia Tom Burt z Microsoftu.

Wpływ na dodatkowe sektory

Oprócz zagrożenia wyborami, Trickbot jest znany z wykorzystywania złośliwego oprogramowania do docierania do witryn bankowości internetowej oraz kradzieży funduszy od ludzi i instytucji finansowych.

mw

Powiązane tematy

Zapraszamy do komentowania artykułów w mediach społecznościowych