Empresas de seguridad y grupo financiero se unen para tomar …



Microsoft y las firmas de seguridad ESET, Black Lotus Labs y Symantec colaboraron con la industria de servicios financieros para cortar la infraestructura C2 de la operación de ransomware.

Las empresas de tecnología y seguridad se asociaron con las industrias de servicios financieros y telecomunicaciones para interrumpir la infraestructura de comando y manage (C2) utilizada para administrar el conocido ransomware Trickbot para infectar más de un millón de dispositivos informáticos, dijeron las empresas detrás de la eliminación en Lunes.

Microsoft trabajó con investigadores de seguridad de ESET, Black Lotus Labs de Lumen y Symantec de Broadcom para identificar los componentes clave del C2 de Trickbot y cortar la capacidad del ransomware para conectarse a los sistemas infectados. Las empresas trabajaron con el Comité de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC) para obtener una orden judicial que permitiera a las empresas de telecomunicaciones cerrar los servidores en los que dependía la operación.

El grupo cree que sus esfuerzos obstaculizarán las operaciones de la botnet y harán que los esfuerzos por reinfectar los sistemas sean mucho más difíciles, dice Jean-Ian Boutin, jefe de investigación de amenazas de la firma de seguridad ESET.

«Al intentar interrumpir las operaciones normales de la botnet Trickbot, esperamos que resulte en una disminución en la oferta de posibles víctimas de ransomware», dice. «Como Trickbot era una plataforma para que los ciberdelincuentes eligieran su próximo objetivo de ransomware, al hacer que no esté disponible, esperamos ver una disminución en estos ataques devastadores».

Trickbot es una plataforma de infección modular que se ha distribuido a través del phishing y mediante el uso de otros infectores, como Emotet, para instalar Trickbot. ESET, por ejemplo, recopiló 28 módulos de complementos diferentes para la plataforma que, entre otras cosas, recopilan credenciales, modifican el tráfico de red y se propagan a otros sistemas.

Una vez en un sistema, Trickbot se ha utilizado a menudo como un troyano bancario, robando las credenciales de las víctimas y usándolas para acceder a los bancos. El application también utiliza a menudo inyecciones website, una técnica que permite al atacante controlar lo que ve una víctima mientras está en un sitio en specific. Un sistema infectado, por ejemplo, puede no mostrar el saldo bancario authentic de la víctima, sino el saldo que el atacante quiere que vea.

En marzo, los operadores de Trickbot cambiaron su enfoque de los ataques a las instituciones financieras al ransomware. El ransomware Ryuk, que infectó varias ciudades, centros de salud y escuelas, a menudo es instalado por Trickbot.

«La banda prison detrás de Trickbot ha actualizado regularmente su software malicioso, agregando módulos con nueva funcionalidad para aumentar su efectividad y potencial de causar daño», dijeron en su análisis investigadores de Black Lotus Labs, una parte de la compañía de tecnología empresarial Lumen. «Han incorporado herramientas como Mimikatz y Cobalt Strike, que suelen utilizar los probadores de penetración y los atacantes criminales, para mapear las redes de las víctimas, robar las credenciales del sistema operativo y propagarse dentro de las organizaciones».

Microsoft y FS-ISAC fueron acusados ​​en el caso civil contra los operadores de Trickbot. Al gigante del application le preocupaba que la plataforma pudiera usarse para atacar sitios y maquinaria electoral antes de las elecciones presidenciales de Estados Unidos.

«Como advirtieron el gobierno de Estados Unidos y los expertos independientes, el ransomware es una de las mayores amenazas para las próximas elecciones», dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft. dijo en una publicación de blog. «Los adversarios pueden utilizar ransomware para infectar un sistema informático utilizado para mantener listas de votantes o informar sobre los resultados de la noche de las elecciones, apoderándose de esos sistemas a una hora prescrita optimizada para sembrar el caos y la desconfianza».

Microsoft analizó 61.000 muestras del malware Trickbot. Otras empresas también prestaron sus análisis al esfuerzo. La plataforma de ransomware ha utilizado ampliamente ataques de phishing con temática de COVID para convencer a los usuarios de hacer clic en enlaces maliciosos o abrir malware, dijo Microsoft.

La acción del lunes siguió a Microsoft y FS-ISAC demandando a los operadores de Trickbot en el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia, que concedió su solicitud de una orden judicial para eliminar los servidores en direcciones IP específicas identificadas por la investigación de las empresas.

«Esta acción también representa un nuevo enfoque authorized que nuestra (Unidad de Delitos Digitales) está utilizando por primera vez», declaró Microsoft en su publicación de blog site. «Nuestro caso incluye reclamos de derechos de autor contra el uso malicioso de nuestro código de software package por parte de Trickbot. Este enfoque es un avance importante en nuestros esfuerzos por detener la propagación del malware, lo que nos permite tomar medidas civiles para proteger a los clientes en la gran cantidad de países del mundo que tener estas leyes en vigor «.

Las demandas civiles se han convertido en el foco de los esfuerzos de Microsoft para detener las operaciones masivas de ciberdelincuentes. Si bien los participantes en el último derribo esperan ver procesados ​​a los criminales detrás del programa malicioso, a menudo los perpetradores no se enfrentan a la justicia.

Para las empresas, los mejores pasos a tomar son a la defensiva, dice Boutin de ESET, quien publicó su propio análisis sobre el ataque.

«La mejor manera de proteger su organización es no comprometerse en primer lugar», dice. «Un vector de infección típico para familias de malware como Trickbot, que son conocidos por eliminar ransomware, son los correos electrónicos maliciosos. Además de la seguridad de los endpoints, fortalecer la seguridad de los sistemas de correo electrónico para que puedan detectar correos electrónicos maliciosos antes de que lleguen a la bandeja de entrada del objetivo es una buena opción inversión.»

Microsoft espera que los operadores de Trickbot regresen, aunque lentamente.

«Anticipamos plenamente que los operadores de Trickbot harán esfuerzos para reactivar sus operaciones, y trabajaremos con nuestros socios para monitorear sus actividades y tomar medidas legales y técnicas adicionales para detenerlos», declaró Microsoft.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Reading, MIT&#39s Technological know-how Critique, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique