Trickbot, phishing, ransomware y elecciones



La botnet ha recibido algunos golpes últimamente, pero eso no significa que la amenaza haya terminado. Aquí hay algunos pasos que puede seguir para mantenerlo alejado de su puerta.

Las últimas semanas han sido difíciles para los operadores de la botnet Trickbot, una operación de malware como servicio, que se enfrentan a ataques coordinados tanto del Cyber ​​Command de EE. UU. Como de Microsoft, con la ayuda de varios socios. Los operadores de Trickbot pasaron de ser exitosos, con más de un millón de infecciones, a convertirse en el objetivo del ejército de EE. UU. Y de las principales corporaciones, y Reuters informa que las acusaciones resultantes de una investigación del FBI se revelarán pronto.

Esta historia que tiene un poco de todo: intriga internacional, ataques a proveedores de atención médica, phishing a gran escala (usando temas como COVID-19 y Black Life Matter como señuelos), World-wide-web de las cosas, contraataque, ransomware, robo. secretos gubernamentales, nuevas técnicas legales e incluso un impacto electoral potencial. Aquí hay suficiente para un tecno-thriller.

Si bien Trickbot ha recibido algunos golpes duros, probablemente no esté hecho. Sus servidores de comando y regulate (C2) están repartidos por todo el mundo, algunos lejos del alcance de la orden judicial que Microsoft está utilizando para eliminar muchos de ellos. También hay señales de que las personas detrás de Trickbot están contraatacando, creando nuevos servidores a medida que otros caen. Interrumpir una botnet es una cosa, pero matarla es otra.

Al igual que muchas redes de bots, Trickbot tiene un historial de ser utilizado para una variedad de cosas, enviar correos electrónicos de phishing para propagarse más, capturar credenciales de los navegadores de las víctimas y distribuir ransomware (Ryuk, en este caso): encriptar archivos y exigir el pago de su devolución. . Como suele ser el caso, el daño overall causado por una botnet como esta es difícil de cuantificar, pero con más de un millón de infecciones, es seguro decir que el daño ha sido sustancial. Y recuerde que una de las víctimas era un importante proveedor de atención médica. Si bien el impacto en el nivel de claridad del proveedor no está claro hoy en día, uno debe preguntarse si los resultados de salud se vieron afectados.

Un nuevo enfoque lawful
Microsoft ha aprovechado los tribunales para acabar con otras botnets, aunque esta vez utilizó una nueva maniobra authorized: la violación de derechos de autor. Para asegurar la orden de eliminar las direcciones IP utilizadas por los servidores Trickbot C2, Microsoft señaló que todos los programas que se ejecutan en Windows requieren el uso del SDK de Home windows (por ejemplo, los archivos de encabezado para la API de Home windows) y el SDK La licencia incluye una disposición que prohíbe su uso «en programas maliciosos, engañosos o ilegales». Además, Microsoft reclamó infracción de marca registrada y otras infracciones de la ley, como lo ha hecho en casos anteriores.

En esencia, el argumento es que cualquier programa que se dirija a Home windows que sea malicioso, engañoso o ilegal viola la licencia asociada con el SDK y, por lo tanto, es una violación de los derechos de autor de Microsoft. Esto ha proporcionado a Microsoft (y a los creadores de otros sistemas operativos) un nuevo método para luchar contra los creadores de malware.

Es un phish … otra vez
A menudo, la ruta hacia la infección comienza con un correo electrónico, algo pegadizo o importante en el asunto y un archivo adjunto o un enlace a un archivo. Si se abre el archivo, se engaña a la víctima para que active una macro maliciosa, y luego el sistema se ve comprometido. Las herramientas de seguridad están deshabilitadas, los datos se roban de una variedad de fuentes y se lanzan ataques contra otros sistemas.

El phishing, desde correos electrónicos masivos enviados indiscriminadamente hasta spear-phishing altamente dirigido y personalizado, es una amenaza que año tras año continúa siendo una de las mayores amenazas tanto para las empresas como para los usuarios finales. Esta amenaza omnipresente es una de la que todos deben conocer y tomar medidas para protegerse. Aquí hay varias formas de hacer esto:

  • Los sistemas de correo electrónico deben configurarse para buscar y bloquear amenazas conocidas.
  • Los sistemas del usuario deben configurarse para deshabilitar funciones peligrosas, como macros en documentos de Office (a menos que sea absolutamente necesario).
  • Los archivos adjuntos de correo electrónico deben tratarse como sospechosos de forma predeterminada los usuarios nunca deben asumir que un archivo adjunto es confiable a menos que lo estén esperando y provenga de un remitente confiable. Suponga que es malicioso a menos que haya una buena razón para creer lo contrario.
  • El hecho de que parezca que proviene de alguien reconocible no significa que lo sea todo lo que parezca extraño o sospechoso debe confirmarse fuera de banda antes de hacer clic en enlaces o abrir archivos adjuntos.

Siempre es mejor pecar de cauteloso cuando se trata de correo electrónico, especialmente cuando algo parece estar mal.

Ataques de ransomware y seguridad electoral
En los Estados Unidos, hay más de 10,000 jurisdicciones electorales separadas, que utilizan alguna combinación de recursos técnicos de la ciudad, el condado y el estado. Cada uno de ellos representa un objetivo para las operaciones de ransomware organizadas, objetivos que ofrecen un valor creciente a medida que se acercan las elecciones.

A medida que se encuentran objetivos vulnerables, los operadores pueden esperar hasta que sea el mejor momento, cuando es más lucrativo atacar. A medida que nos acercamos a una elección que puede traer un récord de participación y controversia, cualquier retraso o interrupción seguramente llamará la atención de todo el país y generará preguntas sobre la integridad del resultado. Esto significa que todo lo que esté relacionado con las elecciones es un objetivo principal y los funcionarios estarían desesperados por recuperarse lo más rápido posible.

Comprender esta táctica de los operadores de ransomware hace que sea fácil ver por qué es importante actuar más temprano que tarde.

El futuro de Trickbot
El propio Trickbot puede sobrevivir o no a este esfuerzo por poner fin a sus ataques, pero las técnicas y el código detrás de él pueden hacerlo, y una vez que se haya ido, habrá un reemplazo. Los delincuentes están ganando una cantidad importante de dinero con estas operaciones, y siempre habrá otra lista para reemplazar la que se cierre.

Si bien esta interrupción es una verdadera victoria, aún se requiere vigilancia.

Adam Caudill es ingeniero de seguridad principal en 1Password y tiene 20 años de experiencia en investigación, seguridad y desarrollo de software. Las principales áreas de enfoque de Adam incluyen seguridad de aplicaciones, comunicaciones seguras y criptografía. También es un blogger activo, orador … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial