În contextul alegerilor care urmează să se desfășoare în perioada următoare în Statele Unite, compania Microsoft a luat măsuri pentru a bloca o rețea de tip botnet, TrickBot, distribuitor de ransomware.
Pentru cei mai puțin familiarizați cu aceste practici, ransomware-ul este folosit de adversarii unui partid politic pentru a infecta sistemele informatice folosite la stocarea listelor de alegători ori pentru a manipula rezultatele alegerilor.
Într-un comunicat de presă, reprezetanții Microsoft arată de ce a fost nevoie să întrerupă funcționarea TrickBot. Ei au arătat de ce Guvernul Statelor Unite și experții independenți consideră ransomware-ul una dintre cele mai mari amenințări pentru viitoarele alegeri din SUA.
„Adversarii pot folosi ransomware pentru a infecta sisteme folosite pentru stocarea listelor de alegători sau pentru a raporta rezultatele din noaptea alegerilor, preluând controlul asupra lor la o oră prestabilită și potrivită pentru a semăna haos și neîncredere”, se arată în comunicatul semnat de Tom Burt - Vicepreședinte Microsoft Corporation, Customer Security & Trust.
Potrivit celor arătate pentru suspedarea activității TrickBot, compania a obținut o hotărâre judecătorească, în baza căreia au fost demarcate mai multe acțiuni de natură tehnică, în parteneriat cu mai mulți furnizori de servicii de telecomunicații.
„Am întrerupt acum infrastructura cheie, astfel încât cei care operează TrickBot nu vor mai putea să inițieze noi infectări sau să activeze ransomware-ul deja plasat în sistemele informatice”, se arată în comunicat.
Acțiunea demarată de Microsoft urmărește protejarea infrastructurii electorale de atacurile ransomware, dar și mai multe organizații, inclusiv instituții de servicii financiare, agenții guvernamentale, instituții medicale, companii și universități.
Ce este botnetul TrickBot
Conform comunicatului, TrickBot a infectat peste un milion de dispozitive IT din întreaga lume începând cu finalul anului 2016. Cercetările efectuate sugerează că operatorii din spatele acestei rețele acționează atât pentru actori statali, cât și pentru rețele criminale.
„În cursul investigației Microsoft cu privire la TrickBot, am analizat aproximativ 61.000 de eșantioane de malware TrickBot. Ceea ce îl face atât de periculos este că are valențe modulare care evoluează constant, infectând computerele victimă în scopul atingerii obiectivelor operatorilor printr-un model de tip «malware-as-a-service»”, se arată în comunicatul de presă.
Potrivit sursei citate cei care îl controlează pot oferi clienților lor acces la mașinile infectate și le pot pune la dispoziție un sistem de livrare pentru multe forme de malware, inclusiv ransomware:
„Campaniile de spam și spear phishing utilizate de TrickBot pentru a distribui programe malware au inclus subiecte precum Black Lives Matter și COVID-19, care îi determină pe oameni să acceseze documente sau linkuri rău intenționate. Pe baza datelor pe care le vedem prin Microsoft Office 365 Advanced Threat Detection, TrickBot a fost cea mai prolifică operațiune malware folosind ca mijloace de atracție tematici legate de COVID-19”.
Operațiunea de suspendare a rețelei
Comunicatul de presă arată că în timpul investigațiilor a fost identificate detaliile operaționale, inclusiv infrastructura utilizată de TrickBot pentru a comunica cu și pentru a controla calculatoarele victim.
Astfel au fost identificate și dezactivate adresele IP, iar accesul la servile de comandă și control a fost întrerupt. Drept urmare, au fost suspendate toate serviciile către operatorii rețelei botnet și a fost blocat orice efort al operatorilor TrickBot de a achiziționa sau închiria servere suplimentare.
„Pentru a aduce la îndeplinire această acțiune, Microsoft a format un grup internațional alcătuit din operatori din industrie și telecomunicații.
Departamentul nostru pentru Criminalitate Informatică (Digital Crimes Unit - DCU) a derulat eforturi de investigare, inclusiv detectare, analiză, telemetrie și inginerie inversă, la care s-au adăugat date și informații suplimentare utile pentru a ne consolida poziția în instanță, provenite de la rețeaua globală de parteneri ce include FS-ISAC, ESET, Lumen's Black Lotus Labs, NTT și Symantec, o divizie a Broadcom, în plus față de contribuția de la echipa noastră internă Microsoft Defender.
Acțiuni suplimentare pentru remedierea funcționării computerelor victimă vor fi susținute de furnizori de servicii de internet (ISPs) și de echipele CERT din întreaga lume”, se mai arată în comunciatul de presă.
Impactul asupra altor sectoare
Pe lângă amenințarea pe care o prezintă pentru procesul electoral, TrickBot este cunoscut pentru faptul că folosește programe malware pentru a accesa platforme de online banking și a sustrage fonduri de la persoane și instituții financiare.
„Utilizatorii nu sunt conștienți de activitatea TrickBot, deoarece operatorii acestuia au conceput-o pentru a se derula în mod ascuns. După ce TrickBot captează datele de conectare și date personale, operatorii rețelei folosesc aceste informații pentru a accesa conturile bancare ale persoanelor respective. Utilizatorii parcurg ceea ce li se pare a fi un proces normal de autentificare și de obicei nu sunt conștienți de activitățile de supraveghere și furt care se desfășoară în parallel”, se mai arată în comunicat.
Reprezentanții Microsoft au arătat cât rău a făcut TrickBot lansând un atac la rețeaua IT a unui spital german, fapt ce a dus la moartea unei femei care necesita tratament de urgență.