Uma coalizão de empresas de tecnologia anunciou nesta segunda-feira, 12, que conseguiu, por meio de um esforço coordenado, derrubar a infraestrutura de back-end da botnet TrickBot. As empresas e organizações que participaram da operação são a Microsoft, o Centro de Análise e Compartilhamento de Informações sobre Serviços Financeiros (FS-ISAC), a ESET, o Black Lotus Labs da Lumen, a NTT e a divisão de segurança cibernética da Broadcom, Symantec.
Antes da remoção, foram realizadas investigações de todos os participantes sobre a infraestrutura de back-end de servidores e módulos de malware do TrickBot. Microsoft, ESET, Symantec e parceiros passaram meses coletando mais de 125 mil amostras da TrickBot, analisando seu conteúdo e extraindo e mapeando informações sobre o funcionamento interno do malware, incluindo todos os servidores que a botnet usou para controlar computadores infectados e inserir módulos adicionais.
Com essas informações em mãos, a Microsoft foi à Justiça neste mês solicitando que lhe fosse concedida o controle sobre os servidores TrickBot. “Diante das evidências, a Justiça concedeu a nós e nossos parceiros o acesso aos servidores para que os endereços IP fossem desabilitados, o conteúdo armazenado nos servidores de comando e controle tornassem inacessíveis e para que todos os serviços fossem suspensos para os operadores da botnet, além de bloquear qualquer iniciativa para que comprassem ou alugassem servidores adicionais”, disse a Microsoft em um comunicado à imprensa nesta segunda-feira, 12.
Os esforços estão sendo feitos também em conjunto com provedores de serviços de internet (ISPs) e equipes de prontidão de emergência de computadores (CERTs) em todo o mundo para notificar todos os usuários infectados.
Veja isso
Trickbot é o malware mais prolífico durante pandemia da covid-19
Hackers norte-coreanos exploram poder de novo módulo do TrickBot
De acordo com os membros da coalizão, a botnet TrickBot já havia infectado mais de 1 milhão de computadores até o momento de sua remoção. Alguns dos sistemas infectados também incluem dispositivos de internet das coisas (IoT).
O TrickBot foi um dos maiores botnets da atualidade. Ele surgiu em 2016 como um trojan bancário antes de se transformar em um downloader de malware multifuncional que infectava sistemas e fornecia acesso a outros grupos de cibercriminosos usando um modelo de negócio conhecido como MaaS (Malware-as-a-Service).
Junto com o Emotet, o TrickBot tem sido uma das plataformas MaaS mais ativas da atualidade, muitas vezes alugando acesso a computadores infectados para grupos que operam ransomware, como Ryuk e Conti. No entanto, os operadores do TrickBot também implantaram trojans bancários e trojans infostealer (que roubam informações) e forneceram acesso a redes corporativas para golpistas que promovem ataques de comprometimento de e-mail comercial (BEC), grupos de espionagem industrial e até mesmo hackers ligados a Estados-nação.
Este é o segundo grande botnet removido este ano, depois do Necurs em março. O sucesso da supressão, no entanto, ainda está para ser confirmado. Muitos outros botnets sobreviveram a remoções semelhantes no passado. O melhor exemplo disso é a botnet Kelihos, que sobreviveu a três tentativas de eliminação e se reconstruiu do zero e continuou a operar.