Microsoft ogłosił dziś, że zakłócił działanie Trickbot, jednego z najbardziej zajadłych botnetów na świecie. Od końca 2016 roku Trickbot zainfekował oprogramowaniem ransomware już ponad milion urządzeń. Microsoft współpracował z operatorami sieci na całym świecie, aby zdjąć kluczową infrastrukturę Trickbota, tak aby jego operatorzy nie mogli używać jej do dystrybucji malware lub oprogramowania wymuszającego okup.
Trickbot nie jest prostym złośliwym oprogramowaniem, które można wykryć za pomocą pierwszego z brzegu, bezpłatnego programu antywirusowego. Przeciwnie, stale ewoluuje na zainfekowanym urządzeniu. Trickbot to wieloetapowe złośliwe oprogramowanie składające się zwykle z opakowania (wrappera), programu ładującego i głównego modułu malware. Wrapper wykorzystuje wiele szablonów, które stale się zmieniają. Metodę tę Microsoft nazywa "malware-as-a-service", a jej celem jest uniknięcie wykrycia poprzez tworzenie unikalnych próbek, nawet jeśli główny kod złośliwego oprogramowania pozostaje ten sam. W trakcie śledztwa Microsoft przeanalizował blisko 61 tysięcy takich próbek. Poza atakowaniem komputerów Trickbot infekuje również urządzenia IoT, takie jak routery, co jeszcze bardziej zwiększa jego zasięg w gospodarstwach domowych i firmach.
Zarówno rządowi, jak i niezależni eksperci ostrzegają, że ransomware jest jednym z największych zagrożeń cyfrowych we współczesnym świecie. Prognozy na przyszłość nie napawają optymizmem. Uważa się, że oprogramowanie szyfrujące i wymuszające okup może być stosowane do blokowania urządzeń służących do przechowywania rejestrów wyborców i raportujących o wynikach głosowania. Zainfekowanie ich o odpowiedniej godzinie może wywołać chaos i zachwiać społecznym zaufaniem.
Zakłóciliśmy działanie Trickbota poprzez nakaz sądowy, który uzyskaliśmy, a także poprzez akcję techniczną, którą wykonaliśmy we współpracy z dostawcami telekomunikacyjnymi z całego świata. Wycięliśmy kluczową infrastrukturę, przez co operatorzy Trickbota nie są już w stanie inicjować nowych infekcji lub aktywować ransomware wrzuconego już w systemy komputerowe. Dodatkowo, aby chronić infrastrukturę wyborów przed atakami ransomware, dzisiejsza akcja będzie zabezpieczać szeroki wachlarz organizacji, w tym instytucje usług finansowych, agencje rządowe, placówki opieki zdrowotnej, firmy i uniwersytety, przed różnymi infekcjami malware umożliwionymi przez Trickbota.
— Tom Burt, CVP Customer Security & Trust, Microsoft
Oczywiście nie chodzi jedynie o zbliżające się wybory w USA. Trickbot znany jest z obierania za cel witryn bankowości online i wykradania funduszy obywatelom i instytucjom, takim jak banki i operatorzy płatności. Nie kończy on jednak na tym i równie chętnie uderza w przeróżne instytucje zarówno publiczne, jak i prywatne.
Nie jest to pierwsza tego typu akcja Microsoftu. Poprzez swój oddział Digital Crimes Unit od 2010 roku firma współpracowała z organami ścigania i innymi partnerami nad licznymi przypadkami, dzięki czemu udało się odzyskać ponad 500 milionów urządzeń z rąk cyberprzestępców.
341f31d.png)