Microsoft | Ransomware | Botnet

Microsoft porazil ransomwarový botnet Trickbot – k úspěšné likvidaci pomohl soudní příkaz

Microsoft ohlásil velké vítězství v oblasti kybernetické bezpečnosti. Ve spolupráci s firmami FS-ISAC, ESET, Lumen Black Lotus Labs, NTT a Symantec se mu podařilo narušit nechvalně známý botnet Trickbot, který byl jedním z hlavních zdrojů celosvětové distribuce ransomwaru.

Microsoft v průběhu uplynulého týdne získal soudní příkaz, který mu umožnil zlikvidovat infrastrukturu back-endových serverů škodlivého botnetu. Na následných opatřeních se pak podíleli telekomunikační operátoři a poskytovatelé internetových připojení po celém světě.

Vítězné tažení

Výsledkem těchto snah je stav, kdy je klíčová infrastruktura používaná provozovateli Trickbotu prakticky zcela odříznutá od internetu. V praxi to znamená, že tento botnet již nelze použít k zahájení nových infekcí nebo k aktivaci vypuštěného ransomwaru.

Vedoucí týmu Microsoft Security and Trust Tom Burt uvedl, že Trickbot infikoval během svého života odhadem milion zařízení po celém světě. Přestože přesná identita jeho operátorů zůstává neznámá, je pravděpodobné, že sloužil různým subjektům, včetně vlád a počítačových zločinců.

„V průběhu vyšetřování Trickbotu jsme analyzovali přibližně 61 000 vzorků malwaru,“ uvedl Burt na oficiálním blogu. „Je nebezpečný především díky tomu, že má modulární funkce, které se neustále vyvíjejí a infikují oběti pro účely operátorů poskytujících malware jako službu“.

Nebezpečný Trickbot

Operátoři mohli svým zákazníkům poskytnout přístup k infikovaným strojům a nabídnout jim mechanismus doručení mnoha forem malwaru, včetně ransomwaru. Kromě útoků na koncové počítače infikoval Trickbot také řadu dalších zařízení, jako jsou routery a spotřebiče chytré domácnosti, což dále rozšiřovalo rozsah a schopnosti celé sítě.

Kampaně využívaly k distribuci malwaru zejména metody spamování a phishingu. Příjemce přesvědčovaly o nutnosti otevřít škodlivý soubor nebo odkaz tak, že používaly jako lákadla název hnutí Black Lives Matter či onemocnění COVID-19.

„Na základě údajů, které vidíme prostřednictvím pokročilé detekce hrozeb v rámci Microsoft Office 365, byl Trickbot nejplodnější operací pro šíření škodlivého softwaru využívající návnadu s tématikou COVID-19. “ uvádí Burt.

Trickbot se poprvé objevil v roce 2016 jako nástupce bankovního trojského koně Dyre, jehož cílem bylo krást přístupové údaje k elektronickému bankovnictví. Během čtyř let z něj jeho operátoři vybudovali silný botnet, jehož schopnosti pak nabízeli dalším zájemcům.

Diskuze (16) Další článek: Ze dvou dnů na 3 hodiny. Let k ISS už trvá kratší dobu než cesta z Prahy do Ostravy

Témata článku: , , , , , , , , , , , , , , , ,