Botnet TrickBot sobrevive a intento de eliminación

El 12 de octubre, Microsoft y varios socios anunciaron que podían interrumpir la infraestructura de TrickBot deshabilitando legalmente las direcciones IP, haciendo que los servidores fueran inaccesibles y suspendiendo los servicios empleados por la botnet. El esfuerzo también tuvo como objetivo evitar que los operadores registraran nueva infraestructura.  Sin embargo, solo tres días después del […]

El 12 de octubre, Microsoft y varios socios anunciaron que podían interrumpir la infraestructura de TrickBot deshabilitando legalmente las direcciones IP, haciendo que los servidores fueran inaccesibles y suspendiendo los servicios empleados por la botnet. El esfuerzo también tuvo como objetivo evitar que los operadores registraran nueva infraestructura. 

Sin embargo, solo tres días después del anuncio, los investigadores de seguridad de Intel 471 revelaron que la botnet ha reanudado sus operaciones, a pesar del intento de eliminación de Microsoft y los esfuerzos del Comando Cibernético de EE. UU. Para piratear los servidores de TrickBot. 

El 14 de octubre, la botnet Emotet comenzó a distribuir documentos Word maliciosos destinados a descargar y ejecutar una copia de Emotet. Los robots de Emotet, dicen los investigadores, recibieron comandos para buscar y ejecutar Trickbot en las máquinas víctimas.

Intel 471 también señala que el archivo de configuración del servidor del complemento Trickbot ha recibido una actualización que agregó quince direcciones de servidor y retuvo dos servidores antiguos, junto con la dirección .onion del servidor. 

Los investigadores creen que el cambio probablemente se realizó como una solución que garantizaría que la infraestructura de la botnet permanezca operativa. 

“El hecho de que Trickbot haya reanudado las operaciones normales a pesar de los mejores esfuerzos de US Cyber ​​Command y Microsoft muestra cuán resistente es Trickbot y cuánto más esfuerzo se necesita para desconectar completamente la botnet para siempre”, dijo Intel 471. 

Los investigadores, que han estado rastreando la actividad de la botnet durante meses, evalúan que los operadores de TrickBot tienen soporte de TI que cualquier empresa legítima aprovecha, incluida la implementación automatizada, las copias de seguridad, la planificación de la continuidad y un equipo dedicado detrás, que les permite reaccionar ante las interrupciones. rápido. 

“Hace unos 10 años era mucho más fácil tomar el control por completo o interrumpir significativamente una botnet, pero los ciberdelincuentes son estudiantes de derribos y han aprendido a hacer que sus operaciones sean más resistentes a los esfuerzos de derribo. Es por eso que cada intento de derribo tiene el potencial de ceder terreno al adversario. Les está enseñando dónde están las debilidades de su armadura y tienen un equipo de desarrolladores listo para actuar sobre esa información. Entonces, a menos que dé un golpe mortal, no los afectará a largo plazo ”, dijo Jason Passwaters, director de operaciones de Intel 471. 

Para interrumpir por completo TrickBot, dicen los investigadores, se necesita un esfuerzo prolongado. El apoyo policial multinacional con enfoque en arrestar a los operadores, un objetivo en la infraestructura principal de la botnet y una estrecha colaboración entre los gobiernos y el sector privado para la desinfección son necesarios para una eliminación exitosa.