Microsoft utiliza la ley de marcas comerciales para interrumpir la botnet Trickbot – Krebs on Security


Microsoft Corp. ha ejecutado un ataque furtivo authorized coordinado en un intento por interrumpir la botnet de malware como servicio Trickbot, una amenaza world wide que ha infectado millones de computadoras y se utiliza para propagar ransomware. Un tribunal de Virginia otorgó a Microsoft el command de muchos servidores de World wide web que Trickbot utiliza para saquear los sistemas infectados, basándose en nuevas afirmaciones de que la máquina delictiva abusó de las marcas comerciales del gigante del software package. Sin embargo, parece que la operación no ha desactivado completamente la botnet.

Un correo electrónico no deseado que contiene un archivo adjunto infectado por Trickbot que se envió a principios de este año. Imagen: Microsoft.

«Interrumpimos Trickbot a través de una orden judicial que obtuvimos, así como una acción técnica que ejecutamos en asociación con proveedores de telecomunicaciones de todo el mundo», escribió. Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, en una publicación de web site esta mañana sobre la maniobra lawful. «Ahora hemos cortado la infraestructura clave para que aquellos que operan Trickbot ya no puedan iniciar nuevas infecciones o activar ransomware que ya se encuentran en los sistemas informáticos».

La acción de Microsoft se generate pocos días después de que el ejército de EE. UU. Comando cibernético llevó a cabo su propio ataque que envió a todos los sistemas Trickbot infectados un comando que les decía que se desconectaran de los servidores de Net que los señores Trickbot usaban para controlarlos. La operación de aproximadamente 10 días de Cyber ​​Command también metió millones de registros falsos sobre nuevas víctimas en la foundation de datos de Trickbot en un intento por confundir a los operadores de la botnet.

En presentaciones legales, Microsoft argumentó que Trickbot daña irreparablemente a la empresa “al dañar su reputación, marcas y buena voluntad de los clientes. Los demandados alteran físicamente y corrompen productos de Microsoft, como los productos de Microsoft Windows. Una vez infectado, alterado y controlado por Trickbot, el sistema operativo Home windows deja de funcionar normalmente y se convierte en una herramienta para que los Demandados lleven a cabo su robo «.

De la denuncia civil que Microsoft presentó el 6 de octubre ante el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia:

“Sin embargo, todavía llevan las marcas comerciales de Microsoft y Windows. Obviamente, esto tiene la intención de engañar a los clientes de Microsoft, y causa un daño extremo a las marcas y marcas comerciales de Microsoft «.

“Los usuarios sujetos a los efectos negativos de estas aplicaciones maliciosas creen incorrectamente que Microsoft y Windows son la fuente de los problemas de sus dispositivos informáticos. Existe un gran riesgo de que los usuarios puedan atribuir este problema a Microsoft y asociar estos problemas con los productos de Windows de Microsoft, diluyendo y empañando así el valor de las marcas y marcas comerciales de Microsoft y Home windows «.

Microsoft dijo que aprovechará los servidores de Trickbot incautados para identificar y ayudar a los usuarios de Windows afectados por el malware Trickbot a limpiar el malware de sus sistemas.

Trickbot se ha utilizado para robar contraseñas de millones de computadoras infectadas y, según se informa, para secuestrar el acceso a más de 250 millones de cuentas de correo electrónico desde las que se envían nuevas copias del malware a los contactos de la víctima.

La función de malware como servicio de Trickbot lo ha convertido en un vehículo confiable para implementar varias cepas de ransomware, bloqueando sistemas infectados en una pink corporativa a menos que y hasta que la compañía acepte realizar un pago de extorsión.

Una cepa de ransomware particularmente destructiva que está estrechamente asociada con Trickbot, conocida como «Ryuk» o «Conti», ha sido responsable de costosos ataques a innumerables organizaciones durante el año pasado, incluidos proveedores de atención médica, centros de investigación médica y hospitales.

Una víctima reciente de Ryuk es Common Wellbeing Expert services (UHS), un hospital y proveedor de servicios de salud de Fortune 500 que opera más de 400 instalaciones en los EE. UU. Y el Reino Unido.

El domingo 27 de septiembre, UHS cerró sus sistemas informáticos en las instalaciones de atención médica de los Estados Unidos en un intento por detener la propagación del malware. La interrupción hizo que algunos de los hospitales afectados redirigieran las ambulancias y reubicaran a los pacientes que necesitaban cirugía a otros hospitales cercanos.

Microsoft dijo que no esperaba que su acción interrumpiera permanentemente a Trickbot, y señaló que los delincuentes detrás de la botnet probablemente harán esfuerzos para reactivar sus operaciones. Pero hasta ahora no está claro si Microsoft logró apoderarse de todos los servidores de manage de Trickbot o cuándo ocurrió exactamente la incautación coordinada de esos servidores.

Como señaló la compañía en sus presentaciones legales, el conjunto de direcciones de Web que se utilizan como controladores de Trickbot es dinámico, lo que hace que los intentos de deshabilitar la botnet sean más desafiantes.

De hecho, de acuerdo con la información en tiempo authentic publicada por Feodo Tracker, un sitio de seguridad suizo que rastrea los servidores de World wide web utilizados como controladores para Trickbot y otras botnets, casi dos docenas de servidores de control de Trickbot, algunos de los cuales se activaron por primera vez a principios de este mes, aún están activos y respondiendo a las solicitudes en el momento de esta publicación. .

Trickbot controla los servidores que están actualmente en línea. Fuente: Feodotracker.abuse.ch

Actualización, 9:51 a.m. ET: Feodo Tracker ahora enumera solo seis controladores Trickbot como respondiendo. Los seis se vieron por primera vez en línea en las últimas 48 horas.


Esta entrada se publicó el lunes 12 de octubre de 2020 a las 8:52 am y está archivada bajo Ransomware, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial