Την προηγούμενη εβδομάδα, εταιρείες κυβερνοασφάλειας με επικεφαλής τη Microsoft ένωσαν τις δυνάμεις τους για να καταστείλουν το TrickBot που είναι ένα από τα μεγαλύτερα malware botnets κι επιχειρήσεις κυβερνοεγκλήματος που υφίστανται σήμερα στο τοπίο των απειλών. Ακόμα κι αν η Microsoft κατέστρεψε την υποδομή του TrickBot τις πρώτες μέρες, το botnet επιβίωσε και οι χειριστές του έφεραν νέους command-and-control-servers (C&C) στο διαδίκτυο, για να συνεχίσουν την επιχείρησή τους.
Ωστόσο, πολλές πηγές από τον κλάδο της κυβερνοασφάλειας δήλωσαν στο ZDNet ότι ανέμεναν την αντεπίθεση του TrickBot, ενώ η Microsoft υποσχέθηκε να συνεχίσει την επιχείρηση καταστολής της κυβερνοαπειλής τις επόμενες εβδομάδες. Σε μια ενημέρωση που δημοσιεύτηκε χθες σχετικά με τις προσπάθειες καταστολής, η Microsoft επιβεβαίωσε ένα δεύτερο κύμα ενεργειών καταστολής του TrickBot.
Η Microsoft τόνισε ότι έχει καταστείλει το 94% των C&C servers του botnet, συμπεριλαμβανομένων των αρχικών servers και των νέων που έφεραν στο διαδίκτυο οι χειριστές του μετά την πρώτη απόπειρα καταστολής. Συγκεκριμένα, ο τεχνολογικός κολοσσός ανέφερε ότι από τη στιγμή που ξεκίνησε αυτή της την επιχείρηση έως τις 18 Οκτωβρίου, κατέστειλε 120 από τους 128 servers που αναγνώρισε ως υποδομή του Trickbot σε όλο τον κόσμο.
Οι οκτώ servers που δεν μπόρεσαν να καταργηθούν την προηγούμενη εβδομάδα χαρακτηρίστηκαν ως Internet of Things (IoT) συσκευές. Ο λόγος που αυτά τα συστήματα δεν μπόρεσαν να καταστραφούν αμέσως ήταν ότι δεν βρίσκονταν σε εταιρείες φιλοξενίας ιστοσελίδων και κέντρα δεδομένων, ενώ δεν ήταν δυνατή η επικοινωνία με τους κατόχους συσκευών μέσω “email κατάχρησης”. Χρειάστηκε πρόσθετος συντονισμός με τοπικούς παρόχους υπηρεσιών διαδικτύου, αλλά η Microsoft επεσήμανε ότι εργάζονται επί του παρόντος για την απενεργοποίηση αυτών των συσκευών.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας “Intel 471”, τα “απομεινάρια” του TrickBot βρίσκονται στη Βραζιλία, την Κολομβία, την Ινδονησία και το Κιργιστάν.
Η Microsoft εξήγησε πως δεν μπορεί να προσδιορίσει για πόσο θα επιβιώσει το TrickBot, ωστόσο σκοπεύει να “κυνηγήσει” την υποδομή του τουλάχιστον μέχρι τις 3 Νοεμβρίου που θα διεξαχθούν οι προεδρικές εκλογές των ΗΠΑ. Ο Tom Burt, CVP για την ασφάλεια κι εμπιστοσύνη των πελατών στη Microsoft, δήλωσε ότι η εταιρεία προσπαθεί να εμποδίσει το TrickBot από το να ενοικιάσει πρόσβαση σε μολυσμένους υπολογιστές, σε ransomware συμμορίες, κάτι που είναι γνωστό ότι έχει κάνει η ομάδα του TrickBot botnet στο παρελθόν.
Επιπλέον, η Microsoft εξέφρασε την ανησυχία της ότι μια ransomware επίθεση ενδέχεται να προκαλέσει διακοπή λειτουργίας στα εκλογικά συστήματα – είτε άμεσα, κρυπτογραφώντας απευθείας υποδομές που σχετίζονται με τις εκλογές, είτε έμμεσα, επηρεάζοντας τις αλυσίδες εφοδιασμού που σχετίζονται με τις εκλογές.
