(Crédito: Shutterstock) En un intento por proteger las próximas elecciones, Microsoft ayudó a interrumpir una notoria botnet capaz de entregar ransomware a las computadoras.
La botnet, apodada Trickbot, todavía está en línea.
Pero a través de una orden judicial, Microsoft deshabilitó al menos algunos de los servidores de comando y control detrás de la red maliciosa de computadoras.
"Ahora hemos cortado la infraestructura clave para que aquellos que operan Trickbot ya no puedan iniciar nuevas infecciones o activar ransomware ya instalado en los sistemas informáticos", escribió el vicepresidente corporativo de Microsoft, Tom Burt, en una publicación de blog el lunes.
A la compañía le preocupaba que Trickbot entregara ransomware a los sistemas de TI que mantienen listas de votantes e informan los resultados de las elecciones.
Tal ataque "sembraría el caos y la desconfianza" en lo que ya ha sido una carrera presidencial turbulenta, dijo Burt.
El propio Trickbot ha existido desde 2016 y llegó por primera vez como un troyano diseñado para engañar a las víctimas para que lo instalen en sus computadoras con el objetivo de robar sus credenciales de inicio de sesión bancarias en línea.
Desde entonces, el malware ha comprometido computadoras en todo el mundo, propagándose a través de ataques de phishing por correo electrónico.
Más recientemente, se descubrió que la botnet enviaba correos electrónicos falsos con malware que mencionaban COVID-19 y Black Lives Matter.
Microsoft estima que Trickbot actualmente abarca más de un millón de dispositivos informáticos, incluidos los de empresas grandes y pequeñas.
Para ganar más dinero, los operadores detrás de Trickbot han estado vendiendo el acceso a su botnet a los ciberdelincuentes, que pueden usar las mismas máquinas esclavizadas para lanzar otros ataques.
"¿Qué hace [Trickbot] tan peligroso es que tiene capacidades modulares que evolucionan constantemente, infectando a las víctimas para los propósitos de los operadores a través de un modelo de 'malware como servicio' ”, escribió Burt en la publicación de blog de hoy.
"Sus operadores podrían proporcionar a sus clientes acceso a máquinas infectadas y ofrecerles un mecanismo de entrega para muchas formas de malware, incluido el ransomware".
Específicamente, Microsoft culpa a Trickbot por difundir el ransomware Ryuk, que ha estado bloqueando con éxito los sistemas de TI de empresas y gobiernos municipales en los últimos años.
El mes pasado, el ransomware también estuvo involucrado en el cierre de un importante proveedor de atención médica que opera 400 hospitales e instalaciones de salud conductual.
Para interrumpir Trickbot, Microsoft analizó 61.000 muestras de malware Trickbot e identificó las direcciones IP de los servidores de comando y control desde los que ha estado operando la botnet.
“Con esta evidencia, el tribunal otorgó la aprobación para que Microsoft y nuestros socios deshabiliten las direcciones IP, hagan inaccesible el contenido almacenado en los servidores de comando y control, suspendan todos los servicios a los operadores de botnet y bloqueen cualquier esfuerzo de compra de los operadores de Trickbot.
o alquilar servidores adicionales ”, dijo Burt.
Microsoft también se asoció con firmas de seguridad, como ESET y Symantec, para acabar con la botnet.
Sin embargo, dicen que los esfuerzos para interrumpir Trickbot probablemente no acabarán con la botnet debido a sus diversos mecanismos de respaldo.
“Si bien nuestro trabajo podría no eliminar la amenaza que representa Trickbot, aumentará el costo de hacer negocios para la banda criminal detrás de la botnet porque se verán obligados a desviar recursos de las actividades de explotación para reconstruir las partes de su infraestructura que interrumpimos ”, dijo la división de seguridad de Lumen, Black Lotus Labs.
"Tratar de interrumpir esta elusiva amenaza es muy desafiante ya que tiene varios mecanismos de respaldo, y su interconexión con otros actores ciberdelincuentes altamente activos en el subsuelo hace que la operación general sea extremadamente compleja", agregó el investigador de seguridad de ESET Jean-Ian Boutin en un comunicado.
(Crédito: Shutterstock) En un intento por proteger las próximas elecciones, Microsoft ayudó a interrumpir una notoria botnet capaz de entregar ransomware a las computadoras.
La botnet, apodada Trickbot, todavía está en línea.
Pero a través de una orden judicial, Microsoft deshabilitó al menos algunos de los servidores de comando y control detrás de la red maliciosa de computadoras.
"Ahora hemos cortado la infraestructura clave para que aquellos que operan Trickbot ya no puedan iniciar nuevas infecciones o activar ransomware ya instalado en los sistemas informáticos", escribió el vicepresidente corporativo de Microsoft, Tom Burt, en una publicación de blog el lunes.
A la compañía le preocupaba que Trickbot entregara ransomware a los sistemas de TI que mantienen listas de votantes e informan los resultados de las elecciones.
Tal ataque "sembraría el caos y la desconfianza" en lo que ya ha sido una carrera presidencial turbulenta, dijo Burt.
El propio Trickbot ha existido desde 2016 y llegó por primera vez como un troyano diseñado para engañar a las víctimas para que lo instalen en sus computadoras con el objetivo de robar sus credenciales de inicio de sesión bancarias en línea.
Desde entonces, el malware ha comprometido computadoras en todo el mundo, propagándose a través de ataques de phishing por correo electrónico.
Más recientemente, se descubrió que la botnet enviaba correos electrónicos falsos con malware que mencionaban COVID-19 y Black Lives Matter.
Microsoft estima que Trickbot actualmente abarca más de un millón de dispositivos informáticos, incluidos los de empresas grandes y pequeñas.
Para ganar más dinero, los operadores detrás de Trickbot han estado vendiendo el acceso a su botnet a los ciberdelincuentes, que pueden usar las mismas máquinas esclavizadas para lanzar otros ataques.
"¿Qué hace [Trickbot] tan peligroso es que tiene capacidades modulares que evolucionan constantemente, infectando a las víctimas para los propósitos de los operadores a través de un modelo de 'malware como servicio' ”, escribió Burt en la publicación de blog de hoy.
"Sus operadores podrían proporcionar a sus clientes acceso a máquinas infectadas y ofrecerles un mecanismo de entrega para muchas formas de malware, incluido el ransomware".
Específicamente, Microsoft culpa a Trickbot por difundir el ransomware Ryuk, que ha estado bloqueando con éxito los sistemas de TI de empresas y gobiernos municipales en los últimos años.
El mes pasado, el ransomware también estuvo involucrado en el cierre de un importante proveedor de atención médica que opera 400 hospitales e instalaciones de salud conductual.
Para interrumpir Trickbot, Microsoft analizó 61.000 muestras de malware Trickbot e identificó las direcciones IP de los servidores de comando y control desde los que ha estado operando la botnet.
“Con esta evidencia, el tribunal otorgó la aprobación para que Microsoft y nuestros socios deshabiliten las direcciones IP, hagan inaccesible el contenido almacenado en los servidores de comando y control, suspendan todos los servicios a los operadores de botnet y bloqueen cualquier esfuerzo de compra de los operadores de Trickbot.
o alquilar servidores adicionales ”, dijo Burt.
Microsoft también se asoció con firmas de seguridad, como ESET y Symantec, para acabar con la botnet.
Sin embargo, dicen que los esfuerzos para interrumpir Trickbot probablemente no acabarán con la botnet debido a sus diversos mecanismos de respaldo.
“Si bien nuestro trabajo podría no eliminar la amenaza que representa Trickbot, aumentará el costo de hacer negocios para la banda criminal detrás de la botnet porque se verán obligados a desviar recursos de las actividades de explotación para reconstruir las partes de su infraestructura que interrumpimos ”, dijo la división de seguridad de Lumen, Black Lotus Labs.
"Tratar de interrumpir esta elusiva amenaza es muy desafiante ya que tiene varios mecanismos de respaldo, y su interconexión con otros actores ciberdelincuentes altamente activos en el subsuelo hace que la operación general sea extremadamente compleja", agregó el investigador de seguridad de ESET Jean-Ian Boutin en un comunicado.
