Microsoft derrubou 120 dos 128 servidores Trickbot em recente takedown

Views: 453
0 0
Read Time:3 Minute, 18 Second

A Microsoft derrubou a infraestrutura trickbot na semana passada, mas alguns dias depois os botmasters criaram um novo comando e controle (C&C).

A equipe de Defender da Microsoft, FS-ISAC, ESET, Lumen’s Black Lotus LabsNTTa divisão de segurança cibernética da Broadcom, Symantec, juntaram as forças e anunciaram na semana passada um esforço coordenado para derrubar a infraestrutura de comando e controle do infame Trick botBotnet.

Mesmo que a Microsoft e seus parceiros tenham derrubado a infraestrutura TrickBot, os operadores TrickBot tentaram retomar as operações criando novos servidores de comando e controle (C&C) on-line.

TrickBot botnet

A Microsoft forneceu uma atualização sobre seus esforços de retirada e anunciou uma nova onda de ações de takedown contra a TrickBot.

De acordo com a gigante de TI, a operação realizada na semana passada derrubou 94% dos servidores que compõem a infraestrutura trickbot. O Trickbot permite ataques de ransomware que foram identificados como uma das maiores ameaças às próximas eleições nos EUA.

“Inicialmente identificamos 69 servidores em todo o mundo que foram fundamentais para as operações da Trickbot, e desabilitamos 62 deles. Os sete servidores restantes não são servidores tradicionais de comando e controle, mas sim dispositivos de internet das coisas (IoT) que trickbot infectou e estava usando como parte de sua infraestrutura de servidor; estes estão em processo de desativação. Como esperado, os criminosos que operam trickbot mexidos para substituir a infraestrutura que inicialmente desativamos. Acompanhamos essa atividade de perto e identificamos 59 novos servidores que eles tentaram adicionar à sua infraestrutura.” disse Tom Burt, CVP de Segurança do Cliente e Confiança na Microsoft. “Agora desabilitamos todos, menos um desses novos servidores. Em suma, desde que começamos nossa operação até 18 de outubro, derrubamos 120 dos 128 servidores que identificamos como infraestrutura Trickbot em todo o mundo.”

A Microsoft derrubou 120 dos 128 servidores que estavam compondo a infraestrutura Trickbot.

A Microsoft anunciou ter derrubado 62 dos 69 servidores C&C originais do TrickBot, sete servidores que não puderam ser derrubados na semana passada foram dispositivos de Internet das Coisas (IoT).

A Microsoft também revelou que as operadoras tentaram retomar as operações, a empresa derrubou 58 dos 59 servidores que as operadoras tentaram colocar on-line após a recente queda.

Burt elogiou o papel dos advogados da Microsoft, que rapidamente solicitaram novas ordens judiciais para derrubar os novos servidores criados pelos operadores Trickbot em resposta à derrubada.

“Identificamos novos servidores Trickbot, localizados em seu respectivo provedor de hospedagem, determinamos a metodologia legal adequada para agir e desabilitamos completamente esses servidores em menos de três horas. Nossa coordenação global permitiu que um provedor tomasse medidas rápidas assim que os notificássemos – em um caso, em menos de seis minutos”, continua o especialista. “O que estamos vendo sugere que o foco principal da Trickbot tornou-se a criação de novas infraestruturas, em vez de iniciar novos ataques, e teve que recorrer a outro lugar para obter ajuda operacional.”

Atualmente, alguns servidores Trickbot C2 ainda estão ativos e os operadores estão usando-os para controlar a botnet. Pesquisadores da empresa de segurança cibernética Intel 471 relataram que esses servidores estão sediados no Brasil, Colômbia, Indonésia e Quirguistão, e que ainda são capazes de responder às solicitações de bots Trickbot.

“Esse pequeno número de servidores de controle de trabalho não foi listado na amostra trickbot distribuída mais recente.” afirma Intel 471.

Burt apontou que os operadores da TrickBot estão trabalhando para restaurar sua infraestrutura em vez de realizar novos ataques.

“Esperamos plenamente que os operadores da Trickbot continuem procurando maneiras de permanecer operacional, e nós e nossos parceiros continuaremos monitorando-os e a tomar medidas.” A Microsoft conclui. “Encorajamos outras pessoas da comunidade de segurança que acreditam em proteger as eleições a se juntarem ao esforço e compartilharem sua inteligência diretamente com provedores de hospedagem e ISPs que podem desligar a infraestrutura da Trickbot.”

FONTE: SECURITY AFFAIRS

POSTS RELACIONADOS