Gli operatori di Trickbot, una botnet a noleggio che ha infettato più di 1 milione di dispositivi dal 2016, sono alla ricerca di nuovi modi per rimanere a galla dopo che Microsoft e una serie di partner del settore hanno intrapreso un'azione coordinata per interromperla la scorsa settimana.
In un aggiornamento pubblicato martedì, Tom Burt, vicepresidente aziendale di Microsoft per la sicurezza e la fiducia, ha affermato che l'operazione è inizialmente riuscita a smantellare 62 dei 69 server che Trickbot era noto per utilizzare per controllare la sua vasta rete di dispositivi infetti. Gli operatori di Trickbot hanno risposto attivando rapidamente 59 nuovi server e Microsoft è stata in grado di eliminarli tutti tranne uno.
In tutto, l'operazione a livello di settore ha bloccato 120 dei 128 server identificati come appartenenti a Trickbot. Ora, Trickbot sta rispondendo utilizzando un gruppo criminale concorrente per distribuire il malware Trickbot.
Combattere per restare in vita
"Questo è uno dei tanti segnali che ci suggeriscono che, di fronte alla sua infrastruttura critica sotto attacchi ripetuti, gli operatori di Trickbot si stanno affrettando a trovare altri modi per rimanere attivi", ha scritto Burt. "Sebbene un accordo con altri attori non consentirà a Trickbot di eguagliare le sue capacità interne, è anche un promemoria del fatto che ci sono molte minacce per mantenere il cyberspazio sicuro ed è importante che le persone, specialmente quelle coinvolte nella sicurezza dei nostri processi elettorali, rimangano vigili . "
Burt, che in passato ha supervisionato diversi rimozioni di botnet globali, ha affermato che il settore sta migliorando. Dopo aver identificato i nuovi server Trickbot, Microsoft ei suoi partner sono stati in grado di individuare i rispettivi provider di hosting, avviato le azioni legali richieste e disattivato la nuova infrastruttura in sole tre ore. Con il coordinamento di molti partner, una rimozione ha richiesto meno di sei minuti dal momento in cui è stato notificato il provider che ospita il server.
Burt ha anche affermato che la ricostruzione di un'infrastruttura di server di comando richiede tempo e non è semplicemente questione di configurare nuovi server. "È necessario predisporre nuovi server per iniziare a parlare con i dispositivi infetti della botnet e inviare comandi, il che richiede tempo". Ha affermato che molti dei server che rimangono in piedi sono router o altri tipi di dispositivi Internet delle cose che non sono vulnerabili alle normali procedure di rimozione. Annuncio pubblicitario
Persone esterne a Microsoft hanno convenuto che la rimozione sembra stia ottenendo risultati. Marcus Hutchins, un ricercatore che segue da vicino le botnet, ha affermato che Trickbot ha due classi di server. I server di comando aggiornano le configurazioni e inviano comandi, mentre i server plug-in scaricano strumenti modulari utilizzati per cose come le frodi bancarie, l'infezione di nuovi computer o l'invio di spam.
Anche un singolo server di comando può dire rapidamente a tutti i computer infetti dove trovare nuovi server di controllo, quindi la loro rimozione parziale non è un granché, ha detto Hutchins. Infatti, nelle ore precedenti alla pubblicazione di questo post, gli operatori di botnet sono stati in grado di aggiungere 13 nuovi server di comando.
Inoltre ho appena guardato e hanno spinto un nuovo elenco di server con server funzionanti al 100%.
– MalwareTech (@MalwareTechBlog) 20 ottobre 2020
Dove le cose si fanno più ottimistiche per i membri del takedown è che, per qualche motivo, nessuno dei server plugin viene sostituito.
"Senza i server plugin, il bot è solo un caricatore con niente da caricare", mi ha detto Hutchins. “In sostanza, per ora la botnet è fuori uso. Finché hanno C2 funzionanti, potrebbero rianimarlo. Ma allo stato attuale, non l'hanno fatto. "
"Non sono ancora morto"
Hutchins ha detto che la vittoria non è affatto completa. Per prima cosa, è possibile che i server dei plug-in possano ancora essere ripristinati. E per un altro, nel momento in cui questo post è stato pubblicato, gli operatori di Trickbot stavano distribuendo attivamente ransomware utilizzando quello che viene chiamato BazarLoader.
È ancora troppo presto per dichiarare la vittoria. Non è chiaro esattamente il motivo per cui i server dei plug-in non vengono sostituiti. Se i server dei plug-in tornano, probabilmente torneranno i normali trucchi dannosi di Trickbot.
"Sicuramente non è morto", ha detto Hutchins, "solo inabile".
