Μεγάλες τεχνολογικές εταιρείες, συμπεριλαμβανομένης της Microsoft, ένωσαν τις δυνάμεις τους με σκοπό να καταστρέψουν την υποδομή backend του TrickBot malware botnet.
Οι εταιρείες και οι οργανισμοί που συμμετείχαν σε αυτή τη συντονισμένη προσπάθεια, είναι η ομάδα Defender της Microsoft, η FS-ISAC, η ESET, η Lumen’s Black Lotus Labs, η NTT και το τμήμα ασφάλειας στον κυβερνοχώρο της Broadcom, Symantec.
Όλες οι εταιρείες αφιέρωσαν πολύ χρόνο σε έρευνες σχετικά με την υποδομή backend του TrickBot, τους servers και τα malware modules, ώστε να είναι σε θέση να το καταστρέψουν.
Η Microsoft, η ESET, η Symantec και οι υπόλοιποι συνεργάτες συγκέντρωσαν περισσότερα από 125.000 δείγματα του TrickBot malware τους τελευταίους μήνες, αναλύοντας το περιεχόμενό τους, εξάγοντας και χαρτογραφώντας πληροφορίες σχετικά με τις εσωτερικές λειτουργίες του κακόβουλου λογισμικού, συμπεριλαμβανομένων όλων των servers που χρησιμοποίησε το TrickBot για τον έλεγχο των μολυσμένων υπολογιστών.
Αφού οι εταιρείες συγκέντρωσαν αυτά τα στοιχεία, η Microsoft πήγε στο δικαστήριο (αυτό το μήνα) και ζήτησε από έναν δικαστή να της δώσει τον έλεγχο των servers του TrickBot.
“Με αυτά τα στοιχεία, το δικαστήριο επέτρεψε στη Microsoft και τους συνεργάτες μας να απενεργοποιήσουν τις διευθύνσεις IP, να καταστήσουν το περιεχόμενο, που είναι αποθηκευμένο στους command and control servers, απρόσιτο, να αναστείλουν όλες τις υπηρεσίες του botnet και να αποκλείσουν κάθε προσπάθεια των χειριστών του TrickBot να αγοράσουν ή να μισθώσουν πρόσθετους servers“, είπε η Microsoft σε δελτίο τύπου χθες.
Μετά την απόφαση του δικαστηρίου, οι τεχνολογικές εταιρείες συνεργάζονται και με παρόχους υπηρεσιών Διαδικτύου (ISP) και CERTs σε όλο τον κόσμο, για την ειδοποίηση των μολυσμένων χρηστών.
Το TrickBot έχει μολύνει πάνω από ένα εκατομμύριο υπολογιστές
Σύμφωνα με τη Microsoft και τις υπόλοιπες τεχνολογικές εταιρείες που συμμετείχαν στην κατάργηση της backend υποδομής του TrickBot botnet, το malware έχει μολύνει περισσότερους από ένα εκατομμύριο υπολογιστές. Μερικά από αυτά τα μολυσμένα συστήματα περιελάμβαναν και συσκευές Internet of Things (IoT).
TrickBot botnet: Ένα από τα μεγαλύτερα botnets
Το TrickBot malware εμφανίστηκε το 2016 ως banking trojan. Αργότερα, άρχισε να μετατρέπεται σε malware πολλαπλών χρήσεων, που μπορούσε να μολύνει πολλά συστήματα και να δώσει πρόσβαση σε άλλες εγκληματικές ομάδες, χρησιμοποιώντας ένα επιχειρηματικό μοντέλο γνωστό ως MaaS (Malware-as-a-Service)
Μαζί με το Emotet, το TrickBot botnet ήταν μια από τις πιο ενεργές πλατφόρμες MaaS σήμερα και χρησιμοποιούνταν από διάφορες ransomware ομάδες, όπως οι Ryuk και Conti.
Ωστόσο, η συμμορία πίσω από το TrickBot ανέπτυξε, επίσης, banking trojans και infostealer trojans, και παρείχε πρόσβαση σε εταιρικά δίκτυα για BEC επιθέσεις, εκστρατείες κατασκοπείας και επιθέσεις από κρατικές hacking ομάδες.
Το Μάρτιο, έκλεισαν τα συστήματα και ενός άλλου botnet malware, του Necurs.
Ωστόσο, σύμφωνα με το ZDNet, η επιτυχία αυτής της κατάργησης δεν έχει ακόμη φανεί. Πολλά άλλα botnets έχουν επιβιώσει από παρόμοιες προσπάθειες κατάργησης. Για παράδειγμα, το Kelihos botnet “επέζησε” από τρεις προσπάθειες κατάργησης, αφού ξεκινούσε πάντα από την αρχή τις δραστηριότητές του και συνέχιζε να λειτουργεί.