Ataques destinados a interrumpir la botnet Trickbot – Krebs on Security


Durante los últimos 10 días, alguien ha lanzado una serie de ataques coordinados diseñados para interrumpir Trickbot, una enorme colección de más de dos millones de Laptop con Home windows infectadas con malware que se recopilan constantemente para obtener datos financieros y que a menudo se utilizan como punto de entrada para la implementación de ransomware en organizaciones comprometidas.

Un fragmento de texto de una de las actualizaciones de configuración falsas de Trickbot. Fuente: Intel 471

El 22 de septiembre, alguien envió un nuevo archivo de configuración a las computadoras Home windows actualmente infectadas con Trickbot. Los delincuentes que ejecutan la botnet Trickbot suelen utilizar estos archivos de configuración para pasar nuevas instrucciones a su flota de Computer system infectadas, como la dirección de Web donde los sistemas pirateados deberían descargar nuevas actualizaciones del malware.

Pero el nuevo archivo de configuración publicado el 22 de septiembre les dijo a todos los sistemas infectados con Trickbot que su nuevo servidor de management de malware tenía la dirección 127…1, que es una dirección de «localhost» a la que no se puede acceder a través de la Online pública, según un análisis de empresa de inteligencia cibernética Intel 471.

No se sabe cuántos sistemas infectados con Trickbot recibieron la actualización falsa, pero parece claro que esto no fue solo un error de los jefes supremos de Trickbot. Intel 471 descubrió que sucedió de nuevo el 1 de octubre, lo que sugiere que alguien con acceso al funcionamiento interno de la botnet estaba tratando de interrumpir sus operaciones.

«Poco después de que se eliminaron las configuraciones falsas, todos los controladores Trickbot dejaron de responder correctamente a las solicitudes de bot», escribió Intel 471 en una nota a sus clientes. “Esto posiblemente signifique que la infraestructura del controlador central de Trickbot fue interrumpida. El momento cercano de ambos eventos sugirió una interrupción intencional de las operaciones de la botnet Trickbot «.

Director ejecutivo de Intel 471 Mark Arena dijo que nadie sabe en este momento quién es el responsable.

«Obviamente, alguien está tratando de atacar a Trickbot», dijo Arena. «Podría ser alguien de la comunidad de investigación en seguridad, un gobierno, un informante descontento o un grupo rival de delitos informáticos. Simplemente no lo sabemos en este momento.«

Arena dijo que no está claro qué tan exitosas serán estas actualizaciones de archivos de configuración falsas dado que los autores de Trickbot construyeron un sistema de recuperación a prueba de fallas en su malware. Específicamente, Trickbot tiene un mecanismo de handle de respaldo: un nombre de dominio registrado en EmerDNS, un sistema de nombres de dominio descentralizado.

“Este dominio aún debería estar bajo el manage de los operadores de Trickbot y podría potencialmente usarse para recuperar bots”, escribió Intel 471.

Pero quienquiera que se esté metiendo con los proveedores de Trickbot parece haber adoptado un enfoque múltiple: casi al mismo tiempo que se lanzó la segunda actualización del archivo de configuración falso el 1 de octubre, alguien llenó las redes de handle que los operadores de Trickbot utilizan para realizar un seguimiento. datos sobre sistemas infectados con millones de registros nuevos.

Alex Holden es director de tecnología y fundador de Mantenga la seguridad, una empresa de inteligencia cibernética con sede en Milwaukee que ayuda a recuperar datos robados. Holden dijo que a finales de septiembre Trickbot tenía contraseñas y datos financieros robados de más de 2,7 millones de Laptop con Windows.

Para el 1 de octubre, dijo Holden, ese número había aumentado mágicamente a más de siete millones.

«Alguien está inundando el sistema Trickbot con datos falsos», dijo Holden. «Quienquiera que esté haciendo esto está generando registros que incluyen nombres de máquinas que indican que se trata de sistemas infectados en una amplia gama de organizaciones, incluido el Departamento de Defensa, U.S. Bank, JP Morgan Chase, PNC y Citigroup, por nombrar algunas».

Holden dijo que la avalancha de registros nuevos, aparentemente falsos, parece ser un intento de alguien de diluir la foundation de datos de Trickbot y confundir o bloquear a los operadores de Trickbot. Pero hasta ahora, dijo Holden, el impacto ha sido principalmente para molestar y agravar a los criminales a cargo de Trickbot.

«Nuestro monitoreo encontró al menos una declaración de uno de los grupos de ransomware que se basa en que Trickbot dice que esto los molesta y que van a duplicar el rescate que están pidiendo a una víctima», dijo Holden. «No hemos podido confirmar si realmente siguieron con eso, pero estos ataques definitivamente están interfiriendo con su negocio».

Arena de Intel 471 dijo que esto podría ser parte de una campaña en curso para desmantelar o arrebatar el command sobre la botnet Trickbot. Tal esfuerzo difícilmente sería sin precedentes. En 2014, por ejemplo, las agencias de aplicación de la ley estadounidenses e internacionales se asociaron con varias empresas de seguridad e investigadores privados para apoderarse de Gameover Zeus Botnet, una cepa de malware particularmente agresiva y sofisticada que había esclavizado hasta 1 millón de Laptop con Home windows en todo el mundo.

Trickbot sería un objetivo atractivo para un esfuerzo de adquisición de este tipo porque se lo considera una plataforma utilizada para encontrar víctimas de ransomware. Intel 471 explain Trickbot como «una plataforma de malware como servicio que atiende a un número relativamente pequeño de ciberdelincuentes de primer nivel».

Una de las principales bandas de ransomware en funcionamiento en la actualidad, que despliega cepas de ransomware conocidas como «Ryuk«Y»Conti, ”Se sabe que están estrechamente asociados con las infecciones por Trickbot. Ambas familias de ransomware se han utilizado en algunos de los incidentes de malware más dañinos y costosos hasta la fecha.

los última víctima de Ryuk es Servicios de salud common (UHS), un medical center y proveedor de servicios de salud de Fortune 500 que opera más de 400 instalaciones en los EE. UU. Y el Reino Unido.

El domingo 27 de septiembre, UHS cerró sus sistemas informáticos en las instalaciones de atención médica de los Estados Unidos en un intento por detener la propagación del malware. Según los informes, la interrupción ha provocado que los hospitales afectados redirijan las ambulancias y reubiquen a los pacientes que necesitan cirugía a otros hospitales cercanos.


Etiquetas: alex holden, Maintain Safety, Intel 471, Mark Arena, Ryuk, trickbot, UHS, Universal Health Products and services

Esta entrada se publicó el viernes 2 de octubre de 2020 a las 2:20 p.m. y está archivada bajo Ransomware, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original