A Microsoft ajudou a interromper o infame botnet Trickbot

0
52

No passado mês de julho de 2020, as campanhas emotet foram detetadas globalmente, infetando as suas vítimas com TrickBot e Qbot, que são usadas para roubar credenciais bancárias e espalhar-se dentro das redes. Algumas das campanhas de malspam continham ficheiros de documentos maliciosos com nomes apelidados de “form.doc” ou “fatura.doc”.

De acordo com investigadores de segurança, o documento malicioso lança um script PowerShell para retirar a carga emotet de sites maliciosos e máquinas infetadas. Emotet é uma estirpe de malware e uma operação de cibercrime. O malware, também conhecido como Geodo e Mealybug, foi detetado pela primeira vez em 2014 e permanece ativo, considerada uma das ameaças mais predominantes de 2019.

Não é só o governo dos EUA que corre para perturbar o botnet Trickbot antes das eleições. A Microsoft revelou agora que a empresa e vários parceiros (incluindo o ESET, os Laboratórios Black Lotus da Lumen, NTT, Symantec e FS-ISAC) tomaram medidas para perturbar o Trickbot. A gigante tecnológica obteve uma ordem judicial e usou “ação técnica” para impedir que o botnet inicie novas infeções ou ative qualquer ransomware adormecido.

A aprovação do tribunal da empresa permite desativar os endereços IP dos servidores de comando e controlo do Trickbot, suspender serviços aos operadores, fazer os conteúdos do servidor ficarem inacessíveis, e impedir os operadores de comprar ou alugar mais servidores. Além disso, a Microsoft até faz reclamações de direitos autorais contra o Trickbot por efetuar alegadamente um “uso malicioso” do código da empresa.

A Microsoft estava sobretudo preocupada com o facto de os operadores do Trickbot usarem a botnet para perturbar a iminente eleição dos EUA através de ransomware. Os agressores podem bloquear sistemas que mantêm os cadernos eleitorais ou reportam os resultados da noite eleitoral, disse a empresa.

A disrupção também pode ajudar a frustrar tentativas de sequestro de banco de contas e ameaçar instituições críticas usando ransomware como Ryuk, que tem sido ligado à morte de um paciente de hospital alemão, bem como ataques contra cidades e até mesmo jornais. Isto não parece ter sido coordenado com o governo americano. Funcionários anónimos a falar com o New York Times alegaram que o Comando Cibernético já tinha começado a hackear os servidores do Trickbot no final de setembro.

Em ambos os casos, os planos anti-botnet foram destinados a descartar quaisquer possíveis ataques russos num momento crítico. Não é claro que a Rússia pretendia usar o Trickbot para uma campanha de malware, mas teoricamente tira a opção com poucas oportunidades para os autores se reagruparem antes da votação de 3 de novembro. Seja qual for a intenção, ainda é um golpe significativo. Trickbot foi o principal método de entrega para o ransomware como o Ryuk. Sem isso, cibercriminosos ou qualquer ator patrocinado pelo Estado terão de se esforçar para encontrar alternativas.

Fonte: Engadget

Quer saber outras novidades? Veja em baixo as nossas Sugestões

Quer saber outras novidades? Veja em baixo as nossas Sugestões

Deixe uma resposta