El fin de TrickBot: Acción conjunta interrumpe la botnet para evitar la propagación de Ryuk

Días después de que el gobierno de los EE. UU. Tomara medidas para interrumpir la notoria botnet TrickBot, un grupo de empresas de ciberseguridad y tecnología ha detallado un esfuerzo coordinado por separado para derribar la infraestructura de back-end del malware.

La colaboración conjunta, que involucró a la Unidad de Crímenes Digitales de Microsoft , Black Lotus Labs de Lumen, ESET , el Centro de Análisis e Intercambio de Información de Servicios Financieros ( FS-ISAC ), NTT y Symantec de Broadcom , se llevó a cabo después de que la solicitud de detener las operaciones de TrickBot fuera concedida por el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia.

El desarrollo se produce después de que el Comando Cibernético de EE. UU. Montó una campaña para frustrar la propagación de TrickBot sobre las preocupaciones de los ataques de ransomware dirigidos a los sistemas de votación antes de las elecciones presidenciales del próximo mes. KrebsOnSecurity informó por primera vez de los intentos destinados a obstaculizar la botnet a principios de este mes.

Microsoft y sus socios analizaron más de 186.000 muestras de TrickBot, usándolas para rastrear la infraestructura de comando y control (C2) del malware empleada para comunicarse con las máquinas víctimas e identificar las direcciones IP de los servidores C2 y otros TTP aplicados para evadir la detección.

Malware trickbot

Desde su origen como un troyano bancario a finales de 2016, TrickBot se ha convertido en una navaja suiza capaz de robar información confidencial e incluso lanzar ransomware y juegos de herramientas posteriores a la explotación en dispositivos comprometidos, además de reclutarlos en una familia de bots.

Por lo general, se entrega a través de campañas de phishing que aprovechan eventos actuales o señuelos financieros para atraer a los usuarios a archivos adjuntos maliciosos abiertos o hacer clic en enlaces a sitios web que alojan el malware, TrickBot también se ha implementado como una carga útil de segunda etapa de otra botnet  llamada Emotet .

La operación de ciberdelito ha infectado a más de un millón de computadoras hasta la fecha.

Microsoft, sin embargo, advirtió que no esperaba que la última acción interrumpiera permanentemente TrickBot, y agregó que los ciberdelincuentes detrás de la botnet probablemente harán esfuerzos para reactivar sus operaciones.

Según Feodo Tracker , con sede en Suiza , ocho servidores de control TrickBot, algunos de los cuales se vieron por primera vez la semana pasada, todavía están en línea después de la eliminación.