Microsoft и други организират свалянето на ботнет TrickBot

тук

Коалиция от технологични компании обяви днес координирани усилия за премахване на задната инфраструктура на ботнета за зловреден софтуер TrickBot.

Включени са компании и организации, участвали в премахването Защитникът на Microsoft екип, FS-ISAC, ESET, Black Lotus Labs на Lumen, NTT, и Подразделението за киберсигурност на Broadcom Symantec.

Преди свалянето бяха разследвания от всички участници в бекенд инфраструктурата на TrickBot от сървъри и модули за зловреден софтуер.

Microsoft, ESET, Symantec и партньорите прекараха месеци в събиране на повече от 125 000 проби от злонамерен софтуер TrickBot, анализиране на тяхното съдържание и извличане и картографиране на информация за вътрешната работа на злонамерения софтуер, включително всички сървъри, използвани от ботнета за контролиране на заразени компютри и обслужване на допълнителни модули.

С тази информация Microsoft се обърна към съда този месец и поиска от съдия да му предостави контрол върху сървърите на TrickBot. Прочетете копие от правните документи тук.

„С това доказателство съдът даде одобрение на Microsoft и нашите партньори да деактивират IP адресите, да рендират съдържанието, съхранявано на командните и контролни сървъри недостъпен, спира всички услуги за операторите на ботнет мрежи и блокира всяко усилие на операторите на TrickBot да закупят или наемат допълнителни сървъри“, каза Microsoft в пресата пуснете днес.

В момента се полагат усилия заедно с доставчиците на интернет услуги (ISP) и компютърните екипи за спешна готовност (CERT) по целия свят за уведомяване на всички заразени потребители.

TrickBot е заразил повече от един милион компютри

Според членовете на коалицията ботнетът TrickBot е заразил повече от един милион компютри по време на свалянето си. Някои от тези заразени системи включват и устройства за интернет на нещата (IoT).

Ботнетът TrickBot беше един от най-големите ботнетове днес.

Зловредният софтуер за първи път стартира през 2016 г. като банков троян, преди да се прехвърли в многоцелеви инструмент за изтегляне на зловреден софтуер, който заразява системи и осигурява достъп до други престъпни групи, използвайки бизнес модел, известен като MaaS (Зловреден софтуер като услуга).

Заедно с Emotet, ботнетът TrickBot е една от днешните най-активни MaaS платформи, често отдаваща под наем достъп до заразени компютри на рансъмуер банди като Ryuk и Conti.

Бандата TrickBot обаче също така внедри банкови троянски коне и троянски коне крадци на информация и също така предостави достъп до корпоративни мрежи за BEC измамници, банди за индустриален шпионаж и дори актьори от националната държава.

Това е вторият голям ботнет за зловреден софтуер, който е свален тази година след Necurs през март.

Успехът на това сваляне обаче предстои да се види. Много други ботнети са преживели подобни премахвания в миналото. Най-добрият пример за това е ботнетът Kelihos, който оцеля при три опита за сваляне, като се възстанови от нулата и продължи да работи.

Актуализирано на 15 октомври, за да се добави, че ботнетът TrickBot има оцеля при опита за сваляне, но има и добри новини за охранителните фирми.