US Cyber Command y Microsoft están interrumpiendo TrickBot
A principios de este mes, supimos que alguien es interrumpir la pink de botnets TrickBot.
Durante los últimos 10 días, alguien ha estado lanzando una serie de ataques coordinados diseñados para interrumpir Trickbot, una enorme colección de más de dos millones de Laptop con Windows infectadas con malware que se recopilan constantemente para obtener datos financieros y que a menudo se utilizan como punto de entrada para Implementar ransomware dentro de organizaciones comprometidas.
El 22 de septiembre, alguien envió un nuevo archivo de configuración a las computadoras Home windows actualmente infectadas con Trickbot. Los delincuentes que ejecutan la botnet Trickbot suelen utilizar estos archivos de configuración para pasar nuevas instrucciones a su flota de Personal computer infectadas, como la dirección de Web donde los sistemas pirateados deberían descargar nuevas actualizaciones del malware.
Pero el nuevo archivo de configuración publicado el 22 de septiembre les dijo a todos los sistemas infectados con Trickbot que su nuevo servidor de handle de malware tenía la dirección 127…1, que es una dirección de «localhost» a la que no se puede acceder a través de la Internet pública, según un análisis de empresa de inteligencia cibernética Intel 471.
Hace unos días, el El Correo de Washington informó que es obra de US Cyber Command:
No se espera que la campaña del Comando Cibernético de EE. UU. Contra la botnet Trickbot, un ejército de al menos 1 millón de computadoras secuestradas administradas por delincuentes de habla rusa, desmantele permanentemente la pink, dijeron cuatro funcionarios estadounidenses, que hablaron bajo condición de anonimato debido al asunto. sensibilidad. Pero es una forma de distraerlos al menos por un tiempo mientras buscan restaurar las operaciones.
La red está controlada por «criminales de habla rusa», y el temor es que se utilice para interrumpir las elecciones estadounidenses el próximo mes.
El esfuerzo es parte de lo que el common Paul Nakasone, jefe de Cyber Command, llama «compromiso persistente» o la imposición de costos acumulativos a un adversario al mantenerlo constantemente comprometido. Y esa es una característica clave de las actividades de CyberCom para ayudar a proteger las elecciones contra amenazas extranjeras, dijeron los funcionarios.
Aquí está el normal Nakasone hablando sobre el compromiso persistente.
Microsoft también es interrumpiendo Trickbot:
Interrumpimos Trickbot mediante una orden judicial que obtuvimos, así como una acción técnica que ejecutamos en asociación con proveedores de telecomunicaciones de todo el mundo. Ahora hemos cortado la infraestructura clave para que aquellos que operan Trickbot ya no puedan iniciar nuevas infecciones o activar ransomware que ya se encuentran en los sistemas informáticos.
(…)
Tomamos la acción de hoy después de que el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia aceptó nuestra solicitud de una orden judicial para detener las operaciones de Trickbot.
Durante la investigación que sustenta nuestro caso, pudimos identificar detalles operativos, incluida la infraestructura que Trickbot usó para comunicarse con las computadoras de las víctimas y controlarlas, la forma en que las computadoras infectadas se comunican entre sí y los mecanismos de Trickbot para evadir la detección y los intentos de interrumpir su funcionamiento. Cuando observamos que las computadoras infectadas se conectan y reciben instrucciones de los servidores de comando y control, pudimos identificar las direcciones IP precisas de esos servidores. Con esta evidencia, el tribunal otorgó la aprobación para que Microsoft y nuestros socios deshabiliten las direcciones IP, hagan inaccesible el contenido almacenado en los servidores de comando y management, suspendan todos los servicios a los operadores de botnets y bloqueen cualquier esfuerzo de los operadores de Trickbot para comprar o arrendar servidores adicionales.
Para ejecutar esta acción, Microsoft formó un grupo internacional de proveedores de telecomunicaciones e industria. Nuestra Unidad de Delitos Digitales (DCU) lideró los esfuerzos de investigación que incluyen detección, análisis, telemetría e ingeniería inversa, con datos e información adicional para fortalecer nuestro caso authorized de una red global de socios que incluye FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT y Symantec, una división de Broadcom, además de nuestro Microsoft Defender equipo. Los proveedores de servicios de Online (ISP) y los equipos de preparación para emergencias informáticas (CERT) de todo el mundo apoyarán nuevas medidas para remediar a las víctimas.
Esta acción también representa un nuevo enfoque legal que nuestro DCU está utilizando por primera vez. Nuestro caso incluye reclamos de derechos de autor contra el uso malicioso de nuestro código de application por parte de Trickbot. Este enfoque es un avance importante en nuestros esfuerzos por detener la propagación del malware, lo que nos permite tomar medidas civiles para proteger a los clientes en la gran cantidad de países de todo el mundo que cuentan con estas leyes.
Brian Krebs comentarios:
En presentaciones legales, Microsoft argumentó que Trickbot daña irreparablemente a la empresa “al dañar su reputación, marcas y buena voluntad de los clientes. Los demandados alteran físicamente y corrompen productos de Microsoft, como los productos de Microsoft Home windows. Una vez infectado, alterado y controlado por Trickbot, el sistema operativo de Home windows deja de funcionar normalmente y se convierte en herramientas para que los Demandados lleven a cabo su robo «.
Este es un uso novedoso de la ley de marcas.
Publicado el 15 de octubre de 2020 a las 6:01 AM •
comentarios
