Non è la prima volta che Microsoft decide di passare all'azione per combattere il cybercrime in prima persona, attaccando direttamente i cyber attaccanti. Nel Marzo di quest'anno Microsoft ha preso il controllo della botnet Necurs, responsabile dell'invio di 3.8 milioni di messaggi di spam contro oltre 46 milioni di target in appena 50 giorni di analisi. Nei primi giorni di Luglio di quest'anno, invece, Microsoft ha annunciato con un dettagliato report di aver effettuato e concluso una vasta campagna di attacco per prendere il controllo e mettere offline una serie di domini usati in quel periodo per lanciare massivi attacchi di phishing, la maggior parte dei quali a tema Covid.
Da pochi giorni si è conclusa un'altra operazione simile, avente come obiettivo principale quello di smantellare la botnet TrickBot e l'intera infrastruttura dedicata alla sua gestione.
Per iniziare: TrickBot in breve
Abbiamo parlato spesso di TrickBot, sopratutto da quando, a partire dallo scorso anno ha iniziato a fare "coppia fissa" col ranomsware Ryuk e ad essere diffuso piuttosto regolarmente anche in Europa (italia compresa). TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.
Luglio 2017:
nell'Estate del 2017 fu individuata perfino una versione con comportamenti da worm: il modulo di propagazione di TrickBot era stato infatti implementato con EternalBlue, l'exploit del protocollo SMB che fu alla base della virulenza impressionante dei ransomware WannaCry e Petya.
Gennaio 2018:
TrickBot viene usato come Access-As-A-Service da altri attori. Una volta che una macchina viene infettata da TrickBot e diviene un bot, il malware crea una reverse shell per altri cyber attaccanti, consentendo loro di infltrarsi nel resto della rete e scaricare altri malware.
Marzo 2018:
ennesimo update. Viene aggiunta una componente di blocco dello schermo (screenlocker), evento che ha indotto i ricercatori a prevedere per TrickBot anche un futuro come ransomware, laddove non dovesse arrivare a termine con successo l'esfiltrazione delle informazioni bancarie dalla macchina target.
Gennaio 2019:
TrickBot inizia a fare coppia fissa coi ransomware. Vengono individuate diverse campagne di diffusione del ransomware Ryuk, nelle quali l'accesso ai sistemi è garantito dalle funzionalità di backdoor di TrickBot.
La task force contro TrickBot
La task force che si è occupata di smantellare la botnet TrickBot e l'intera infrastruttura di gestione era composta da più soggetti (il team Defender di Microsoft, il Financial Services Information Sharing and Analysis Center, Black Lotus Labs, Symantec ecc...): il primo passo compiuto è stato quello di studiare per mesi oltre 125.000 malware che avevano infettato più di un milione di pc e alcune centinaia di migliaia di dispositivi IoT.
In seguito ai risultati delle analisi, lo United States District Court for the Eastern District of Virginia ha riconosciuto a Microsoft l'autorizzazione necessaria per collaborare con gli ISP e le unità CERT nazionali per smantellare nel vero senso della parola, la botnet e avviare anche una campagna di comunicazione per allertare gli ignari utenti-vittime del rischio corso. Una vera e propria operazione di "takedown" accompagnata da una capillare operazione comunicativa verso gli utenti.
L'annuncio di Microsoft riguardo all'operazione è stato pubblicato 2 giorni fa, dopo che il New York Times ha riferito che il Cyber Command U.S.A ha preso di mira il gruppo temendo l'utilizzo del malware TrickBot e della sua botnet per manipolare il voto delle Presidenziali del 3 Novembre.
"Abbiamo interrotto Trickbot con un'ingiunzione del tribunale e un'operazione eseguita in collaborazione con provider di tutto il mondo", ha dichiarato alla stampa Tom Burt, vicepresidente di Microsoft. "Come hanno avvertito il governo degli Stati Uniti e esperti indipendenti, il ransomware è una delle maggiori minacce alle prossime elezioni. Gli avversari possono utilizzare il ransomware per infettare un sistema informatico utilizzato per mantenere le liste elettorali o riferire sui risultati della notte delle elezioni, sequestrando quei sistemi a un’ora prestabilita ottimizzata per seminare caos e sfiducia", ha continuato, facendo riferimento al fatto che TrickBot è stato frequentemente sfruttato come "apripista" per varie tipologie di ransomware, Ryuk tra tutti.
L'operazione ha avuto successo e, ad ora, i gestori di TrickBot non sono più nella condizione di avviare nuove infezioni o diffondere ransomware sfruttando le backdoor aperte sui sistemi dal malware stesso: "Oltre a proteggere l’infrastruttura elettorale dagli attacchi ransomware, l’azione odierna proteggerà un’ampia gamma di organizzazioni, tra cui istituzioni di servizi finanziari, agenzie governative, strutture sanitarie, aziende e università dalle varie infezioni malware abilitate da Trickbot" ha concluso Burt.
Nessun commento:
Posta un commento