A Microsoft ajudou a interromper o infame botnet Trickbot

No passado mês de julho de 2020, as campanhas emotet foram detetadas globalmente, infetando as suas vítimas com TrickBot e Qbot, que são usadas para roubar credenciais bancárias e espalhar-se dentro das redes. Algumas das campanhas de malspam continham ficheiros de documentos maliciosos com nomes apelidados de “form.doc” ou “fatura.doc”.

De acordo com investigadores de segurança, o documento malicioso lança um script PowerShell para retirar a carga emotet de sites maliciosos e máquinas infetadas. Emotet é uma estirpe de malware e uma operação de cibercrime. O malware, também conhecido como Geodo e Mealybug, foi detetado pela primeira vez em 2014 e permanece ativo, considerada uma das ameaças mais predominantes de 2019.

Não é só o governo dos EUA que corre para perturbar o botnet Trickbot antes das eleições. A Microsoft revelou agora que a empresa e vários parceiros (incluindo o ESET, os Laboratórios Black Lotus da Lumen, NTT, Symantec e FS-ISAC) tomaram medidas para perturbar o Trickbot. A gigante tecnológica obteve uma ordem judicial e usou “ação técnica” para impedir que o botnet inicie novas infeções ou ative qualquer ransomware adormecido.

A aprovação do tribunal da empresa permite desativar os endereços IP dos servidores de comando e controlo do Trickbot, suspender serviços aos operadores, fazer os conteúdos do servidor ficarem inacessíveis, e impedir os operadores de comprar ou alugar mais servidores. Além disso, a Microsoft até faz reclamações de direitos autorais contra o Trickbot por efetuar alegadamente um “uso malicioso” do código da empresa.

A Microsoft estava sobretudo preocupada com o facto de os operadores do Trickbot usarem a botnet para perturbar a iminente eleição dos EUA através de ransomware. Os agressores podem bloquear sistemas que mantêm os cadernos eleitorais ou reportam os resultados da noite eleitoral, disse a empresa.

A disrupção também pode ajudar a frustrar tentativas de sequestro de banco de contas e ameaçar instituições críticas usando ransomware como Ryuk, que tem sido ligado à morte de um paciente de hospital alemão, bem como ataques contra cidades e até mesmo jornais. Isto não parece ter sido coordenado com o governo americano. Funcionários anónimos a falar com o New York Times alegaram que o Comando Cibernético já tinha começado a hackear os servidores do Trickbot no final de setembro.

Em ambos os casos, os planos anti-botnet foram destinados a descartar quaisquer possíveis ataques russos num momento crítico. Não é claro que a Rússia pretendia usar o Trickbot para uma campanha de malware, mas teoricamente tira a opção com poucas oportunidades para os autores se reagruparem antes da votação de 3 de novembro. Seja qual for a intenção, ainda é um golpe significativo. Trickbot foi o principal método de entrega para o ransomware como o Ryuk. Sem isso, cibercriminosos ou qualquer ator patrocinado pelo Estado terão de se esforçar para encontrar alternativas.

Fonte: Engadget

Quer saber outras novidades? Veja em baixo as nossas Sugestões

Quer saber outras novidades? Veja em baixo as nossas Sugestões

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here