În perioada premergătoare alegerilor din SUA din 2020, Microsoft a lansat o ofensivă împotriva unui prolific botnet numit Trickbot. Au reușit să omoare amenințarea? Vă explicăm cum s-a stins.
Roboți și botneți
Un bot este un computer care a fost compromis și infectat cu malware. Programul malware efectuează unele acțiuni în beneficiul actorului de amenințare. O botnet este o rețea de roboți care funcționează la unison. Cu cât există mai mulți roboți în botnet, cu atât are mai multă putere de calcul. Formează o platformă de calcul distribuită puternic care lucrează în numele actorilor de amenințare.
Botnet-urile pot fi utilizate pentru activități precum extragerea criptomonedelor, efectuarea atacurilor distribuite de refuz de serviciu, acționând ca ferme de spam, pentru a culege acreditările utilizatorilor la scară largă sau pentru a culege în mod ascuns informații despre persoane, rețele și organizații.
Armata de roboți care alcătuiesc rețeaua de bot este controlată de la un server de comandă și control denumit adesea un server C2. Serverul C2 acceptă informații de la roboți și răspunde trimițându-le comenzi de urmat. Serverul C2 poate distribui, de asemenea, noi încărcături utile sau pluginuri rău intenționate care oferă funcționalități noi pentru malware.
Trickbot
Trickbot ar putea face o revendicare bună pentru titlul de cea mai infamă botnet din lume. A început viața ca troian bancar în 2016, furând acreditările de conectare la conturile bancare și la alte platforme de plăți. De atunci, a primit o dezvoltare continuă și a evoluat într-un instrument sofisticat de livrare a malware-ului, care este angajat altor infractori cibernetici și grupuri de actori de amenințare.
A infectat peste un milion de dispozitive de calcul din 2016, făcându-l o botnet masiv și o marfă puternică pentru infractorii cibernetici. Prezintă o amenințare majoră pentru companii, deoarece a fost utilizat ca platformă de distribuție pentru ransomware, cum ar fi Ryuk și alte operațiuni de ransomware de mari dimensiuni.
Infecțiile provin de obicei de la căderea unui angajat pentru un e-mail fraudulos care i-a fost trimis ca parte a unei campanii de phishing prin e-mail. E-mailul conține un atașament rău intenționat. Când utilizatorul încearcă să deschidă atașamentul – adesea mascat ca un fișier PDF sau Word – acesta descarcă și instalează Trickbot.
De fapt, Trickbot este o rețea atât de mare de mașini compromise încât un singur server C2 este insuficient. Datorită numărului de roboți și a volumului de trafic, și parțial pentru că doreau să construiască o anumită redundanță în infrastructura lor, grupul Trickbot folosea 69 de servere C2 uimitoare pe tot globul.
Deci, ce s-ar întâmpla dacă actorii de amenințare Trickbot ar pierde accesul la toate serverele lor C2?
Ofensiva Microsoft împotriva lui Trickbot
În octombrie 2020, Microsoft și partenerii selectați și companiile de găzduire au început să lucreze împreună pentru a identifica și elimina serverele C2 ale Trickbot.
Analiza inițială Microsoft a identificat 69 de servere de bază C2 care erau cruciale pentru operațiunile Trickbot. Au dezactivat imediat 62 dintre ei. Celelalte șapte nu erau servere dedicate Trickbot, erau dispozitive Internetul obiectelor infectate (IoT) aparținând victimelor nevinovate.
Dispozitivele IoT au fost deturnate de Trickbot. Oprirea acestor dispozitive de a se comporta ca servere C2 a necesitat puțină finețe decât s-a folosit pentru a interzice celorlalte servere C2 să aibă o bază de găzduire. Ei au trebuit să fie dezinfectați și să revină la serviciul normal în loc să fie doar opriți tremurând.
Așa cum v-ați aștepta, banda Trickbot s-a grăbit să lanseze și să funcționeze servere de înlocuire. Au creat 59 de servere noi. Acestea au fost vizate rapid de Microsoft și aliații săi și toate, cu excepția unuia dintre acestea – începând cu 18 octombrie 2020 – au fost dezactivate. Inclusiv cele 69 de servere originale, 120 din 128 de servere Trickbot au fost dezactivate.
Cum au făcut-o
În octombrie 2020, Microsoft a obținut o hotărâre judecătorească din SUA care îi permite acestuia și partenerilor săi să dezactiveze adresele IP utilizate de serverele TrickBot C2. Au făcut atât serverele în sine, cât și conținutul lor inaccesibil operatorilor Trickbot. Microsoft a lucrat la nivel global cu furnizorii de telecomunicații și partenerii din industrie, inclusiv Centrul de partajare și analiză a informațiilor despre servicii financiare (FS-ISAC), ESET, Lumen, NTT și Symantec.
Tom Burt de la Microsoft (vicepreședinte corporativ, securitate și încredere pentru clienți) spune că Microsft poate identifica un nou server Trickbot, poate afla cine este furnizorul de găzduire, poate îndrepta cerințele legale pentru ca aceștia să dea jos serverul și apoi să dezactiveze serverul mai puțin de trei ore. Pentru instanțele din teritoriile în care au închis deja un server C2, unele dintre acestea pot fi urmărite rapid, deoarece legalitățile sunt fie deja în vigoare, fie procesul este acum bine înțeles. Înregistrarea lor pentru eliminarea unui nou server C2 este mai mică de șase minute.
Echipa Microsoft continuă să colaboreze cu furnizorii de servicii de internet (ISP) și echipele naționale de intervenție în caz de urgență (CERT) pentru a ajuta organizațiile să curățe computerele infectate.
Deci Trickbot este mort?
Este prea devreme pentru a suna. Infrastructura din spatele malware-ului este cu siguranță într-o stare de sănătate precară. Dar Trickbot s-a reinventat de mai multe ori în trecut. S-ar putea să fi făcut deja asta. Cercetătorii în materie de securitate au detectat un nou tip de backdoor și program de descărcare malware care prezintă asemănări la nivel de cod cu malware-ul Trickbot. Atribuirea pentru noul malware – numit Bazar sau BazarLoader – duce direct la ușa bandei Trickbot. Se pare că lucrau deja la un instrument de atac de generația următoare înainte ca ofensiva Microsoft să înceapă.
BazarLoader folosește campanii de phishing prin e-mail pentru a iniția infecții, dar, spre deosebire de e-mailurile de phishing Trickbot, nu poartă un atașament. În schimb, au linkuri care pretind să descarce sau să deschidă documente în Google Docs. Desigur, legăturile duc victima către site-uri web frauduloase, asemănătoare. Conținutul e-mailurilor de phishing a fost o informație falsă legată de subiecte la fel de variate precum salarizarea angajaților și COVID-19.
Bazar este conceput pentru a fi chiar mai furios decât Trickbot, folosind criptarea blockchain pentru a masca adresele URL ale domeniului serverului C2 și domeniile DNS (Domain Name System). Această nouă variantă a fost deja văzută distribuind ransomware-ul Ryuk, care din punct de vedere istoric a fost un client bine cunoscut al Trickbot. Poate că grupul Trickbot a trecut deja la unul sau mai mulți clienți la noul lor produs?
Lucrurile vor deveni Bazar
Deoarece Trickbot a evoluat de la rădăcinile sale troiene până la a deveni o platformă extensibilă de închiriere a criminalității informatice, adăugarea de noi funcționalități la Trickbot poate fi realizată relativ ușor. Actorii de amenințare scriu un nou plug-in și îl descarcă de pe serverele C2 pe mașinile botnet. Un nou plug-in a fost detectat în decembrie 2020. Există cel puțin o anumită viață în vechiul malware, dacă acesta primește încă funcționalități noi.
Noul plug-in permite Trickbot să efectueze un atac de bootkit Unified Extensible Firmware Interface (UEFI). Atacul UEFI face Trickbot mult mai greu de îndepărtat de pe mașinile infectate, chiar supraviețuind schimbărilor complete de hard disk. De asemenea, permite actorilor de amenințare să pună cărămidă pe computer, amestecând firmware-ul.
Așadar, Trickbot ar putea să dispară, dar grupul din spatele Trickbot este gata să își lanseze noua sa platformă malware, Bazar. Microsoft și aliații lor au rănit cu siguranță Trickbot. Cu Trickbot devenit aproape inoperabil, clienții grupului Trickbot vor fi exercitat presiuni asupra lor pentru a furniza servicii ilegale pe care le plătiseră.
Și când clienții dvs. includ luminari precum grupul de amenințări persistente avansate (APT) Lazarus din Coreea de Nord, veți avea nevoie de câteva răspunsuri bune la câteva întrebări dificile despre acordul dvs. de nivel de serviciu și despre serviciul pentru clienți. Aceasta poate fi ceea ce a determinat grupul Trickbot să-și furnizeze temporar unele dintre serviciile lor către un alt grup cibercriminal, pentru a încerca să mențină un fel de capacitate operațională.
Nu vă alăturați armatei Botnet
Indiferent de cât de sofisticate pot fi Trickbot și Bazar, acestea sunt eficiente numai dacă sunt capabile să infecteze computerele pentru a umfla rândurile armatei lor de botnet. Cheia pentru evitarea recrutării constă în posibilitatea de a identifica e-mailurile de phishing și de a le șterge în loc să le îndrăgostești.
Formarea de conștientizare a securității cibernetice a personalului este esențială aici. Primesc e-mailuri toată ziua în fiecare zi. Trebuie să gândească defensiv tot timpul. Aceste puncte vor ajuta la identificarea e-mailurilor de phishing.
- Fiți suspect de lucrurile care sunt ieșite din comun. Ați mai primit vreodată un e-mail de la departamentul de salarizare care să conțină linkuri către Google Docs? Probabil ca nu. Asta ar trebui să vă ridice suspiciunile imediat.
- Ți-a fost trimis e-mailul sau ești unul dintre mulți destinatari? Are sens ca acest tip de e-mail să se adreseze unui public mai larg?
- Textul dintr-un hyperlink poate fi făcut să spună orice, ceea ce nu garantează că link-ul te va duce acolo. Plasați cursorul mouse-ului peste orice link din corpul e-mailului. Într-o aplicație de e-mail, va apărea un sfat cu destinația reală a link-ului. Dacă utilizați un client webmail, destinația linkului decodat va fi afișată undeva, de obicei în colțul din stânga jos al ferestrei browserului. Dacă destinația link-ului pare suspectă, nu faceți clic pe ea.
- Este corectă gramatica din e-mail? E-mailul dă tonul potrivit și folosește rândul de expresie la care v-ați aștepta în acel tip de comunicare? Greșelile de ortografie și gramatica proastă ar trebui luate ca semne de avertizare.
- Logo-urile, subsolurile și alte elemente ale livrării corporative par a fi autentice? Sau par niște copii de calitate scăzută care au fost preluate din altă parte?
- Nu de bună credință organizația va cere vreodată parole, detalii despre cont și alte informații sensibile.
Ca întotdeauna, prevenirea este mai bună decât vindecarea.