Acțiune în forţă de combatere a ransomware-ului, înainte de alegerile din SUA

de Tom Burt – Vice președinte Microsoft Corporation, Customer Security & Trust

Compania Microsoft a anunțat azi măsuri pentru întreruperea funcționării rețelei de tip botnet denumită TrickBot, unul dintre cele mai nocive botneturi din lume și un distribuitor prolific de ransomware. Zoate detaliile despre această operaţiune sunt cuprinse în articolul lui Tom Burt – Vice Președinte Microsoft Corporation, Customer Security & Trust, publicat pe blogul Microsoft. Vă oferim traducerea integrala a acestui articol.

“Astăzi am luat măsuri pentru a întrerupe o rețea tip botnet numită TrickBot, unul dintre cele mai nocive botneturi din lume și distribuitor prolific de ransomware.
După cum au avertizat atât Guvernul Statelor Unite, cât și experții independenți, ransomware-ul reprezintă una dintre cele mai mari amenințări pentru viitoarele alegeri. Adversarii pot folosi ransomware pentru a infecta sisteme folosite pentru stocarea listelor de alegători sau pentru a raporta rezultatele din noaptea alegerilor, preluând controlul asupra lor la o oră prestabilită și potrivită pentru a semăna haos și neîncredere.

Am întrerupt funcționarea TrickBot atât prin obținerea unei hotărâri judecătorești, cât și prin acțiuni tehnice pe care le-am adus la îndeplinire în parteneriat cu furnizori de servicii de telecomunicații din întreaga lume. Am întrerupt acum infrastructura cheie, astfel încât cei care operează TrickBot nu vor mai putea să inițieze noi infectări sau să activeze ransomware-ul deja plasat în sistemele informatice. În plus față de protejarea infrastructurii electorale de atacurile ransomware, acțiunea de astăzi va proteja o gamă largă de organizații, inclusiv instituții de servicii financiare, agenții guvernamentale, instituții medicale, companii și universități de diferitele infectări cu malware promovate prin TrickBot.

Botnetul TrickBot
TrickBot a infectat peste un milion de dispozitive de calcul din întreaga lume începând cu finalul anului 2016. În vreme ce identitatea exactă a operatorilor nu este cunoscută, cercetările efectuate sugerează că aceștia acționează atât pentru actori statali, cât și pentru rețele criminale pentru o varietate de obiective.

În cursul investigației Microsoft cu privire la TrickBot, am analizat aproximativ 61.000 de eșantioane de malware TrickBot. Ceea ce îl face atât de periculos este că are valențe modulare care evoluează constant, infectând computerele victimă în scopul atingerii obiectivelor operatorilor printr-un model de tip „malware-as-a-service”. Cei care îl controlează pot oferi clienților lor acces la mașinile infectate și le pot pune la dispoziție un sistem de livrare pentru multe forme de malware, inclusiv ransomware. În afară de infectarea computerelor utilizatorilor finali, TrickBot a infectat, de asemenea, o serie de echipamente IoT („Internet of Things”), de exemplu routere, care au extins prezența TrickBot în gospodării și organizații.

În plus față de întreținerea valențelor modulare pentru o varietate de scopuri finale, operatorii s-au dovedit a fi capabili să facă schimbări în ce privește tehnicile aplicate în raport de evenimentele din societate. Campaniile de spam și spear phishing utilizate de TrickBot pentru a distribui programe malware au inclus subiecte precum Black Lives Matter și COVID-19, care îi determină pe oameni să acceseze documente sau linkuri rău intenționate. Pe baza datelor pe care le vedem prin Microsoft Office 365 Advanced Threat Detection, TrickBot a fost cea mai prolifică operațiune malware folosind ca mijloace de atracție tematici legate de COVID-19.

Componente de întrerupere a funcționalității și o nouă strategie legală
Am luat măsurile de astăzi după ce Curtea Districtuală a Statelor Unite pentru Districtul de Est al Virginiei a admis cererea noastră de emitere a unei hotărâri judecătorești pentru a opri operațiunile TrickBot

În timpul investigațiilor care au stat la baza cazului nostru, am reușit să identificăm detalii operaționale, inclusiv infrastructura utilizată de TrickBot pentru a comunica cu și pentru a controla calculatoarele victimă, modul în care computerele infectate comunică între ele și mecanismele TrickBot de a se sustrage detectării și încercărilor de a întrerupe funcționarea sa. Pe măsură ce am observat cum se conectează sistemele infectate la serverele de comandă și control și primesc instrucțiuni de la acestea, am putut identifica adresele IP exacte ale acelor servere. Pe baza acestor probe, instanța a autorizat pe Microsoft și pe partenerii noștri să dezactiveze adresele IP, să întrerupă accesul la conținutul stocat pe serverele de comandă și control, să suspende toate serviciile către operatorii rețelei botnet și să blocheze orice efort al operatorilor TrickBot de a achiziționa sau închiria servere suplimentare.

Pentru a aduce la îndeplinire această acțiune, Microsoft a format un grup internațional alcătuit din operatori din industrie și telecomunicații. Departamentul nostru pentru Criminalitate Informatică (Digital Crimes Unit – DCU) a derulat eforturi de investigare, inclusiv detectare, analiză, telemetrie și inginerie inversă, la care s-au adăugat date și informații suplimentare utile pentru a ne consolida poziția în instanță, provenite de la rețeaua globală de parteneri ce include FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT și Symantec, o divizie a Broadcom, în plus față de contribuția de la echipa noastră internă Microsoft Defender. Acțiuni suplimentare pentru remedierea funcționării computerelor victimă vor fi susținute de furnizori de servicii de internet (ISPs) și de echipele CERT din întreaga lume.

Această acțiune reprezintă, de asemenea, o nouă abordare legală pe care DCU o folosește pentru prima dată. Cazul include cereri întemeiate pe drepturi de autor împotriva utilizării rău intenționate a codului nostru sursă de către TrickBot. Această abordare este o evoluție importantă în eforturile noastre de a opri răspândirea malware-ului, permițându-ne să acționăm prin mijloace de drept civil pentru a proteja clienții în numeroase state din întreaga lume unde astfel de legislație este în vigoare.

Anticipăm că operatorii TrickBot vor depune eforturi pentru a-și reactiva operațiunile și vom colabora cu partenerii noștri pentru a le monitoriza activitățile și a lua măsuri legale și tehnice suplimentare pentru a-i opri.

Impactul asupra altor sectoare
În plus față de amenințarea pe care o prezintă pentru procesul electoral, TrickBot este cunoscut pentru faptul că folosește programe malware pentru a accesa platforme de online banking și a sustrage fonduri de la persoane și instituții financiare. TrickBot a vizat diverse tipuri de instituții financiare, de la bănci globale și procesatori de plăți globali la uniuni de credit regionale. Din acest motiv, Financial Services Information Sharing and Analysis Center (FS-ISAC) a fost un partener esențial și s-a alăturat acțiunii noastre în justiție.

Atunci când cineva care folosește un computer infectat cu TrickBot încearcă să se conecteze pe website-ul unei instituții financiare, TrickBot pune în execuție o serie de pași pentru a deturna în secret browserul web al utilizatorului, pentru a obține credențialele de login la online banking și alte date personale ale utilizatorului și pentru a trimite aceste informații operatorilor criminali. Utilizatorii nu sunt conștienți de activitatea TrickBot, deoarece operatorii acestuia au conceput-o pentru a se derula în mod ascuns. După ce TrickBot captează datele de conectare și date personale, operatorii rețelei folosesc aceste informații pentru a accesa conturile bancare ale persoanelor respective. Utilizatorii parcurg ceea ce li se pare a fi un proces normal de autentificare și de obicei nu sunt conștienți de activitățile de supraveghere și furt care se desfășoară în paralel.

TrickBot este, de asemenea, cunoscut pentru a livra cripto-ransomware-ul Ryuk care a fost utilizat în atacuri împotriva unei game largi de instituții publice și private. Ransomware-ul poate avea efecte devastatoare. Cel mai recent, a incapacitat rețeaua IT a unui spital german, ducând la moartea unei femei care necesita tratament de urgență. Ryuk este un cripto-ransomware sofisticat, deoarece identifică și criptează fișierele de rețea și dezactivează Windows System Restore pentru a împiedica utilizatorii să-și poată recupera datele după atac în absența unor backupuri externe. Ryuk a atacat organizații, inclusiv autorități municipale, instanțe judecătorești, spitale, azile, companii și universități mari. De exemplu, lui Ryuk i-au fost atribuite atacurile vizând un contractor pentru Departamentul Apărării al SUA, orașul Durham din Carolina de Nord, un furnizor IT pentru 110 azile și un număr de spitale în timpul pandemiei COVID-19.

Securitatea alegerilor și protecția împotriva malware-ului
După cum am transmis luna trecută în Microsoft Digital Defense Report, ransomware-ul este în creștere. Pentru organizațiile implicate în alegeri care doresc protecție împotriva ransomware și altor amenințări, oferim gratuit serviciul AccountGuard de notificare a amenințărilor, care protejează acum peste două milioane de conturi de e-mail din întreaga lume. Până în prezent, am transmis peste 1.500 de notificări de atacuri de tip actor statal către utilizatorii înregistrați în programul AccountGuard. De asemenea, oferim Microsoft 365 pentru campanii și o versiune ușor de configurat a Microsoft 365 care vine cu setări implicite inteligente și sigure la un preț accesibil. În fine, programul Election Security Advisors oferă servicii de reziliență proactivă și răspuns reactiv la incidente pentru campanii și oficiali electorali, de asemenea la un preț accesibil.

Departamentul nostru Digital Crimes Unit va continua, de asemenea, operațiunile pentru a proteja organizațiile implicate în procesul democratic și întreaga noastră bază de clienți. Din 2010, Microsoft, prin Digital Crimes Unit, a colaborat cu autoritățile de aplicare a legii și alți parteneri în 23 de operațiuni de întrerupere a funcționării domeniilor utilizate pentru operarea malware și acțiuni ale actorilor statali, din care a rezultat salvarea a peste 500 de milioane de dispozitive de infractorii cibernetici. Cu această acțiune de drept civil, am pus în aplicare o nouă strategie legală care ne permite să folosim protecția acordată de legislația drepturilor de autor pentru a împiedica utilizarea infrastructurii Microsoft, în acest caz codul nostru sursă, pentru comiterea de infracțiuni. Întrucât protecția drepturilor de autor este mai răspândită decât legislația care se referă la criminalitatea informatică, această nouă abordare ne ajută să urmărim ”actorii răi” în mai multe jurisdicții din întreaga lume.”

Pentru a vă asigura că PC-ul dvs. nu conține programe malware, puteţi accesa website-ul support.microsoft.com/botnets.