Microsoft ha bloqueado la red botnet Trickbot, mediante una orden judicial y una acción llevada a cabo en colaboración con algunos proveedores de telecomunicaciones de varios países.
Trickbot es una peligrosa red botnet conocida por infectar los dispositivos con el cripto-ransomware Ryuk, que se ha utilizado en ataques contra una amplia gama de instituciones públicas y privadas y por usar programas maliciosos con objeto de acceder a sitios web de banca online. Recientemente, paralizó la red informática de un hospital alemán, lo que provocó la muerte de una mujer que necesitaba un tratamiento. Ryuk es un ransomware sofisticado porque identifica y cifra los archivos de red y desactiva la restauración del sistema de Windows para evitar que las personas puedan recuperarse del ataque sin copias de seguridad externas.
Además de proteger la infraestructura electoral americana de los ataques de ransomware, esta acción liderada por Microsoft, protegerá a una amplia gama de organizaciones de distintos sectores clave, como el financiero, agencias gubernamentales, centros médicos, empresas y universidades contra las diversas infecciones de malware propagadas por la botnet Trickbot.
Trickbot: una de las botnets más peligrosas del mundo
Trickbot ha infectado más de un millón de dispositivos informáticos en todo el mundo desde finales de 2016. Aunque se desconoce la identidad exacta de la organización que operó esta botnet, las investigaciones sugieren que sirve tanto para perpetrar ataques contra estados como para redes criminales que persiguen diversos objetivos.
En el curso de la investigación sobre Trickbot, Microsoft ha analizado aproximadamente 61.000 muestras del programa maligno y ha llegado a la conclusión de que lo que lo hace tan peligroso es que incluye capacidades modulares que evolucionan constantemente, infectando a las víctimas a través de un modelo de “malware como servicio”. Los operadores criminales pueden así proporcionar a sus clientes acceso a dispositivos infectados y permitir la propagación de otros programas malignos, incluido el ransomware. Además, Trickbot ha llegado a infectar dispositivos IoT, como los routers, lo que ha provocado que haya llegado a hogares y demás organizaciones.
Las campañas de spam y de phishing de Trickbot para distribuir malware han utilizado temas como Black Lives Matter y COVID-19, que han incitado a las personas a hacer clic en documentos o enlaces maliciosos. Según los datos que proporciona la herramienta Microsoft Office 365 Advanced Threat Detection, Trickbot ha sido el malware que más ha utilizado como señuelo la COVID-19.
Desmantelamiento y estrategia legal
El Tribunal del Este de Virginia emitió una orden judicial para detener las operaciones de Trickbot. Durante la investigación del caso, Microsoft pudo identificar detalles operativos, como la infraestructura que esta peligrosa botnet utilizó para comunicarse y controlar los equipos de las víctimas, la forma en que los dispositivos infectados se comunicaban entre ellos y los mecanismos de Trickbot para evitar la detección. “Cuando vimos que los dispositivos infectados se conectaban y recibían instrucciones de los servidores de comando y control operados por los criminales, pudimos identificar las direcciones concretas de IP de dichos servidores. Con esta evidencia, el tribunal nos autorizó, tanto a nosotros como a nuestros partners, a suspender y bloquear estas direcciones IP. De esta forma, logramos que no se pudiera acceder a los servidores de comando y control, suspender todos los servicios de la red que operaba la botnet e impedir que se contrataran servidores adicionales”, señala Tom Burg, Corporate vice president of Consumer Security and Trust de Microsoft.
La Unidad de Delitos Digitales (DCU) de Microsoft junto al equipo Microsoft Defender lideraron los trabajos de investigación, detección, análisis, telemetría e ingeniería inversa, con el objetivo de crear sólidos argumentos jurídicos para sustentar el caso, y contó con la colaboración de FS-ISAC, ESET , Black Lotus Labs de Lumen, NTT y Symantec, una división de Broadcom. Los proveedores de servicios de Internet (ISP) y los equipos nacionales de respuestas a emergencias cibernéticas (CERT) en todo el mundo apoyarán nuevas medidas para identificar los dispositivos comprometidos y notificar a las víctimas la necesidad de desinfectar sus dispositivos
“Por primera vez hemos utilizado la infracción de nuestros derechos de autor como argumento jurídico en nuestra demanda, debido al uso de nuestro programa de software por parte de Trickbot para fines maliciosos. Este nuevo enfoque nos ha permitido obtener medidas civiles para proteger a nuestros clientes en una gran cantidad de países de todo el mundo”, comenta Tom Burg, quien añade que “prevemos que la red criminal que operaba Trickbot intentará reactivar sus operaciones, y, para evitarlo, trabajaremos con nuestros socios para monitorizar sus actividades y tomar las medidas legales y técnicas que hagan falta para detenerlos”.