Microsoft ha bloqueado la red botnet Trickbot, mediante una orden judicial y una acción llevada a cabo en colaboración con algunos proveedores de telecomunicaciones de varios países.
Trickbot es una peligrosa red botnet conocida por infectar los dispositivos con el cripto-ransomware Ryuk, que se ha utilizado en ataques contra una amplia gama de instituciones públicas y privadas y por usar programas maliciosos con objeto de acceder a sitios web de banca online. Recientemente, paralizó la red informática de un hospital alemán, lo que provocó la muerte de una mujer que necesitaba un tratamiento. Ryuk es un ransomware sofisticado porque identifica y cifra los archivos de red y desactiva la restauración del sistema de Windows para evitar que las personas puedan recuperarse del ataque sin copias de seguridad externas.
Además de proteger la infraestructura electoral americana de los ataques de ransomware, esta acción liderada por Microsoft, protegerá a una amplia gama de organizaciones de distintos sectores clave, como el financiero, agencias gubernamentales, centros médicos, empresas y universidades contra las diversas infecciones de malware propagadas por la botnet Trickbot.
Índice de temas
Trickbot: una de las botnets más peligrosas del mundo
Trickbot ha infectado más de un millón de dispositivos informáticos en todo el mundo desde finales de 2016. Aunque se desconoce la identidad exacta de la organización que operó esta botnet, las investigaciones sugieren que sirve tanto para perpetrar ataques contra estados como para redes criminales que persiguen diversos objetivos.
En el curso de la investigación sobre Trickbot, Microsoft ha analizado aproximadamente 61.000 muestras del programa maligno y ha llegado a la conclusión de que lo que lo hace tan peligroso es que incluye capacidades modulares que evolucionan constantemente, infectando a las víctimas a través de un modelo de “malware como servicio”. Los operadores criminales pueden así proporcionar a sus clientes acceso a dispositivos infectados y permitir la propagación de otros programas malignos, incluido el ransomware. Además, Trickbot ha llegado a infectar dispositivos IoT, como los routers, lo que ha provocado que haya llegado a hogares y demás organizaciones.
Las campañas de spam y de phishing de Trickbot para distribuir malware han utilizado temas como Black Lives Matter y COVID-19, que han incitado a las personas a hacer clic en documentos o enlaces maliciosos. Según los datos que proporciona la herramienta Microsoft Office 365 Advanced Threat Detection, Trickbot ha sido el malware que más ha utilizado como señuelo la COVID-19.
Desmantelamiento y estrategia legal
El Tribunal del Este de Virginia emitió una orden judicial para detener las operaciones de Trickbot. Durante la investigación del caso, Microsoft pudo identificar detalles operativos, como la infraestructura que esta peligrosa botnet utilizó para comunicarse y controlar los equipos de las víctimas, la forma en que los dispositivos infectados se comunicaban entre ellos y los mecanismos de Trickbot para evitar la detección. “Cuando vimos que los dispositivos infectados se conectaban y recibían instrucciones de los servidores de comando y control operados por los criminales, pudimos identificar las direcciones concretas de IP de dichos servidores. Con esta evidencia, el tribunal nos autorizó, tanto a nosotros como a nuestros partners, a suspender y bloquear estas direcciones IP. De esta forma, logramos que no se pudiera acceder a los servidores de comando y control, suspender todos los servicios de la red que operaba la botnet e impedir que se contrataran servidores adicionales”, señala Tom Burg, Corporate vice president of Consumer Security and Trust de Microsoft.
La Unidad de Delitos Digitales (DCU) de Microsoft junto al equipo Microsoft Defender lideraron los trabajos de investigación, detección, análisis, telemetría e ingeniería inversa, con el objetivo de crear sólidos argumentos jurídicos para sustentar el caso, y contó con la colaboración de FS-ISAC, ESET , Black Lotus Labs de Lumen, NTT y Symantec, una división de Broadcom. Los proveedores de servicios de Internet (ISP) y los equipos nacionales de respuestas a emergencias cibernéticas (CERT) en todo el mundo apoyarán nuevas medidas para identificar los dispositivos comprometidos y notificar a las víctimas la necesidad de desinfectar sus dispositivos
“Por primera vez hemos utilizado la infracción de nuestros derechos de autor como argumento jurídico en nuestra demanda, debido al uso de nuestro programa de software por parte de Trickbot para fines maliciosos. Este nuevo enfoque nos ha permitido obtener medidas civiles para proteger a nuestros clientes en una gran cantidad de países de todo el mundo”, comenta Tom Burg, quien añade que “prevemos que la red criminal que operaba Trickbot intentará reactivar sus operaciones, y, para evitarlo, trabajaremos con nuestros socios para monitorizar sus actividades y tomar las medidas legales y técnicas que hagan falta para detenerlos”.
ESET ha participado en la operación para desactivar Trickbot
ESET ha anunciado su participación en una operación global para tratar de desactivar Trickbot, una botnet que ha infectado a más de un millón de dispositivos en todo el mundo. La operación, coordinada entre ESET, Microsoft, el centro de investigación Black Lotus Labs de Lumen y NTT, entre otros, ha conseguido desactivar los servidores de mando y control de Trickbot. ESET ha participado en el análisis técnico, proporcionando información estadística y nombres de dominio e IP conocidos de los servidores de mando y control. Trickbot es una botnet conocida por robar credenciales en ordenadores comprometidos, pero en los últimos tiempos también ha llevado a cabo ataques más dañinos, como los protagonizados por ransomware.
ESET lleva siguiendo las actividades de Trickbot desde su detección a finales de 2016. Solo en 2020, la plataforma de seguimiento de ESET ha analizado más de 125.000 muestras maliciosas y descargado y descifrado más de 40.000 archivos de configuración utilizados por los diferentes módulos de Trickbot, lo que ha permitido a la compañía tener una visión excelente de los servidores de mando y control usados por esta botnet.
“A lo largo de todo este tiempo, se ha observado cómo Trickbot comprometía dispositivos de una manera estable, convirtiéndola en una de las botnets más longevas”, explica Jean-Ian Boutin, responsable de investigación de amenazas en ESET. “Trickbot es una de las familias de malware bancario más importantes y representa una amenaza para los usuarios de Internet en todo el mundo”.
En sus años de funcionamiento, Trickbot se ha distribuido de diferentes maneras. Por ejemplo, recientemente se ha estado observando cómo se descargaba Trickbot en sistemas comprometidos por Emotet, otra botnet muy importante. En el pasado, Trickbot era utilizado principalmente como un troyano bancario que robaba cuentas bancarias y que pretendía realizar transferencias fraudulentas.
Uno de los complementos más antiguos desarrollados para la plataforma permitía a Trickbot utilizar ataques de inyección web, una técnica que permite al malware realizar cambios de forma dinámica en algunas páginas específicas que la víctima visite. “Gracias a nuestro análisis, hemos recopilado decenas de miles de archivos diferentes de configuración, con lo que conocemos bien qué páginas web tenía Trickbot como objetivo, principalmente webs de entidades financieras”, añade Boutin.
