El intento de Microsoft de obstaculizar la botnet Trickbot no tuvo éxito, dice Intel 471

El intento de Microsoft de obstaculizar la botnet Trickbot no tuvo éxito, dice Intel 471

Pero la empresa de inteligencia de amenazas con sede en EE. UU. Intel 471 descubrió que Trickbot continúa operando cuatro días después de la incautación de Microsoft de los servidores de la botnet en EE. UU. Y el sitio de seguridad suizo Feodo Tracker encontró 18 servidores de este tipo todavía activos y enviando malware a través de spam, a pesar de los esfuerzos de Microsoft.

“Definitivamente los interrumpieron, pero las acciones de Microsoft no han alterado la capacidad de Trickbot para hacer lo que hacían antes”, dijo Mark Arena, director ejecutivo de Intel 471.

Microsoft parece haber eliminado todos los servidores de comando y control de Trickbot en los Estados Unidos. Sin embargo, hasta el jueves por la tarde, 11 servidores fuera del país que habían estado funcionando antes de la acción de Microsoft todavía estaban en línea, desde Yakarta, Indonesia, hasta la provincia holandesa de Utrecht y Bogotá, Colombia, según datos de Intel 471.

Es más, los operadores de Trickbot pusieron en línea otra docena de servidores fuera de Estados Unidos, en ciudades como Ámsterdam, Berlín y Moscú, encontró Intel 471.

“Los malos han aprendido”, dijo Arena. “Los esparcieron por todo el mundo. Han desarrollado resiliencia y copias de seguridad “.

Microsoft respondió que permanece en medio de sus esfuerzos por interrumpir Trickbot.

“Creemos que hemos logrado limitar severamente las capacidades de Trickbot. Nuestro trabajo de interrupción está en curso en los EE. UU. Y en todo el mundo, y los informes de terceros no reflejan el estado actual “, dijo el vicepresidente de seguridad y confianza del cliente de Microsoft, Tom Burt, en un comunicado.

Microsoft siempre anticipó que los piratas informáticos que ejecutan Trickbot se moverían para restaurar sus operaciones.

“Estamos rastreando activamente estos esfuerzos y ejecutando nuevos y significativos pasos hacia la interrupción continua”, dijo Burt. La compañía se negó a revelar cuáles son esos pasos.

La botnet administrada por los operadores de Trickbot incluye al menos 1 millón de computadoras infectadas, dijo Microsoft, aunque otros analistas estiman el número en más de 3 millones de dispositivos. Esas computadoras infectadas pueden usarse para propagar ransomware, así como para enviar correos electrónicos no deseados maliciosos a destinatarios desprevenidos.

De hecho, incluso después de la acción de Microsoft, el viernes se utilizó Trickbot para enviar spam a malware en los Estados Unidos, dijo Roman Hüssy, investigador de seguridad de abuse.ch, el grupo sin fines de lucro que opera Feodo Tracker. Hasta ahora, las tácticas de Microsoft parecen, en el mejor de los casos, haber interrumpido a Trickbot durante unos días, dijo Hüssy, aunque reconoció que nuevas acciones podrían causar desafíos adicionales a la botnet. Pero con tantos servidores de comando y control en funcionamiento y que continúan enviando spam a las víctimas, la campaña de interrupción de Microsoft “no parece muy prometedora”, dijo Hüssy.

Aunque se desmanteló parte de la infraestructura de la botnet, los ciberdelincuentes se han trasladado a nuevos servidores y han encontrado formas de atraer nuevas víctimas, dijo Alex Holden, director ejecutivo de Hold Security, con sede en Milwaukee. Dijo que en los últimos días, la botnet infectó más de 1,000 computadoras nuevas en los Estados Unidos y más allá.

“Desafortunadamente”, dijo, “varios servidores de comando y control todavía están activos”.

Al tomar el control de los servidores estadounidenses a principios de esta semana que envían instrucciones a la botnet, Burt planteó el fantasma de que Trickbot, dirigido por delincuentes de habla rusa, representaba una amenaza “teórica pero real” para la integridad electoral en una entrevista con The Washington Post. Microsoft temía que los operadores de Trickbot pudieran lanzar ataques de ransomware que no alterarían los resultados electorales reales, sino que obstaculizarían la capacidad de un precinto para informar resultados, por ejemplo, socavando la confianza de los votantes.

Microsoft no fue el único que intentó interrumpir Trickbot. En las últimas semanas, U.S. Cyber ​​Command también lanzó una campaña contra la botnet. Y el jueves, la agencia política europea Europol arrestó a 20 personas por supuestamente pertenecer a una red internacional que blanqueó millones de euros robados por ciberdelincuentes a través de esquemas de malware, y también ayudó a los operadores de Trickbot.

Entonces, si bien la efectividad de los intentos de Microsoft de interrumpir Trickbot es limitada, el “triple golpe” de la acción de la compañía junto con Cyber ​​Command y Europol hará que los piratas informáticos “sean menos propensos a usar Trickbot para disparar ransomware”, dijo Gary Warner, director de investigación. en informática forense en la Universidad de Alabama en Birmingham.

Ellen Nakashima contribuyó a este informe.

Recent Articles

Revisión del Apple iPhone 12: sólida, pero no la compre solo para 5G

Probablemente esté estresado mientras lee esto. La mayoría de las personas que conozco en este momento están estresadas. Quizás lo último en lo que...

El mejor anime en Netflix ahora mismo

Cualquier momento es un momento perfecto para saltar al anime, y Netflix se ha sumergido en el medio con una gran cantidad de programas....

‘Terraria’ 1.4 Journey’s End finalmente está disponible para dispositivos móviles y brinda una gran cantidad de contenido nuevo y mejoras a un juego increíble:...

Durante el fin de semana, Re-Logic anunció que Terraria ($ 4.99) en dispositivos móviles recibirán la actualización masiva de contenido...

La hija de Vijay Sethupathi recibe amenazas de violación después de que el actor se retira de la película

En un acto de absoluta desvergüenza, deshonra y vulgaridad, un usuario de...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí