TrickBot se ha convertido en una navaja suiza capaz de robar información confidencial
Días después de que el gobierno de los EE. UU. tomara medidas para interrumpir la notoria botnet TrickBot, un grupo de empresas de ciberseguridad y tecnología ha detallado un esfuerzo coordinado por separado para derribar la infraestructura de back-end del malware.
La colaboración conjunta, que involucró a la Unidad de Delitos Digitales de Microsoft, Black Lotus Labs de Lumen, ESET, Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC), NTT y Symantec de Broadcom, se llevó a cabo después de que el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia concediera su solicitud de detener las operaciones de TrickBot.
El desarrollo se produce después de que el Comando Cibernético de EE. UU. montó una campaña para frustrar la propagación de TrickBot sobre las preocupaciones de los ataques de ransomware dirigidos a los sistemas de votación antes de las elecciones presidenciales del próximo mes. KrebsOnSecurity informó por primera vez de los intentos destinados a detener la botnet a principios de este mes.
Microsoft y sus socios analizaron más de 186.000 muestras de TrickBot, usándolas para rastrear la infraestructura de comando y control (C2) del malware empleada para comunicarse con las máquinas víctimas e identificar las direcciones IP de los servidores C2 y otros TTP aplicados para evadir la detección.
"Con esta evidencia, el tribunal otorgó la aprobación para que Microsoft y nuestros socios deshabiliten las direcciones IP, hagan inaccesible el contenido almacenado en los servidores de comando y control, suspendan todos los servicios a los operadores de botnets y bloqueen cualquier esfuerzo de los operadores de TrickBot para comprar o arrendar servidores adicionales", dijo Microsoft.
Desde su origen como un troyano bancario a finales de 2016, TrickBot se ha convertido en una navaja suiza capaz de robar información confidencial e incluso lanzar ransomware y kits de herramientas posteriores a la explotación en dispositivos comprometidos, además de reclutarlos en una familia de bots.
"A lo largo de los años, los operadores de TrickBot pudieron construir una botnet masiva y el malware evolucionó hasta convertirse en un malware modular disponible para malware como servicio", dijo Microsoft.
"La infraestructura TrickBot se puso a disposición de los ciberdelincuentes que usaban la botnet como punto de entrada para campañas operadas por humanos, incluidos ataques que roban credenciales, exfiltran datos y despliegan cargas útiles adicionales, sobre todo el ransomware Ryuk, en las redes objetivo".
Por lo general, se entrega a través de campañas de phishing que aprovechan eventos actuales o señuelos financieros para atraer a los usuarios a abrir archivos adjuntos maliciosos o hacer clic en enlaces a sitios web que alojan el malware, TrickBot también se ha implementado como una carga útil de segunda etapa de otra botnet nefasta llamada Emotet.
La operación de ciberdelito ha infectado a más de un millón de computadoras hasta la fecha.
Microsoft, sin embargo, advirtió que no esperaba que la última acción interrumpiera permanentemente TrickBot, y agregó que los ciberdelincuentes detrás de la botnet probablemente harán esfuerzos para reactivar sus operaciones.
Según Feodo Tracker, con sede en Suiza, ocho servidores de control TrickBot, algunos de los cuales se vieron por primera vez la semana pasada, todavía están en línea después de la eliminación.