Colaboraram com a Microsoft participantes do grupo de troca de dados de segurança cibernética que inclue FS-ISAC, Black Lotus Labs da Lumen, ESET, Symantec e NTT
Por que é importante: a Microsoft anunciou que interrompeu com sucesso o botnet do Trickbot depois que ele prendeu alguns de seus usuários do Office 365. A empresa enviou uma solicitação legal para desativar a infraestrutura de botnets gerida por hackers.
De acordo com a Microsoft, sua equipe Defender Antivirus tem trabalhado ao lado de grandes parceiros do crime cibernético para coletar amostras e desvendar informações críticas relacionadas ao esquema de botnet.
Os participantes do grupo de troca de dados de segurança cibernética incluem FS-ISAC, Black Lotus Labs da Lumen, ESET, Symantec e NTT.p
De acordo com documentos judiciais protocolados , a Microsoft buscou permissão para assumir domínios e servidores pertencentes ao grupo malicioso com sede na Rússia. Ele também queria consentimento legal para bloquear endereços IP associados ao lote e impedir que as entidades por trás dele comprassem ou alugassem servidores.
Os pedidos faziam parte de um plano de ação mais amplo para destruir os dados armazenados nos sistemas dos hackers.
A intenção era primeiro bloquear o acesso a servidores que controlam mais de 1 milhão de máquinas infectadas. Essa mudança seria uma etapa crucial para interromper o controle de mais de 250 milhões de endereços de e-mail violados .
A Microsoft disse que a estratégia do Trickbot teve sucesso principalmente porque usou um aplicativo Office 365 personalizado de terceiros. Enganar os usuários para instalá-lo permitiu que os hackers contornassem as senhas em vez de confiar no token OAuth2. Por meio dessa técnica, eles podem acessar contas de usuário comprometidas do Microsoft 365 e dados confidenciais associados a eles, como conteúdo de email e listas de contatos.
Nos documentos do tribunal, a Microsoft lamenta que o Trickbot tenha usado endereços de e-mail aparentemente autênticos da Microsoft e outras informações da empresa para difamar seus clientes. Ele argumenta que a rede usou seu nome e infraestrutura para fins maliciosos, manchando assim sua imagem.
Enganar os usuários para que o instalassem deu aos invasoras a oportunidade de ignorar as senhas e, em vez disso, confiar no token OAuth2
Os pesquisadores detectaram a rede Trickbot pela primeira vez em 2016. Ela começou como um Trojan bancário e se desenvolveu mais tarde em um instalador de malware multiplex.
O worm atualizado acabou comprometendo milhões de dispositivos em todo o mundo. As entidades por trás da rede, ao longo dos anos, alugaram acesso a sistemas infectados para outros sindicatos do crime cibernético. Os analistas se referem amplamente a isso como Malware-as-a-Service (MaaS).
Apesar dos esforços da Microsoft e das agências governamentais dos Estados Unidos para derrubar o Trickbot, os especialistas em segurança da Intel471 alertam que a recente mudança parece ter tido um impacto mínimo. De acordo com a empresa, a rede botnet é amplamente descentralizada e utiliza redes de mascaramento de IP, como o Tor, para ocultar locais de servidor. Essa abordagem elaborada minimiza os danos causados por derrubadas direcionadas.
Conforme observado no último relatório da empresa, “a lista de endereços IP do Trickbot da Microsoft continha quatro endereços IP no momento deste relatório e estavam sendo enviados pelos operadores do Trickbot como servidores de comando e controle do Trickbot.
No momento deste relatório, o Intel 471 não viu nenhum impacto significativo na infraestrutura do Trickbot e na capacidade de se comunicar com os sistemas infectados pelo Trickbot.
Fonte: TECHSPOT