Forsøg på koordineret nedlukning af Trickbot-botnet

En domstol i Virginia USA har givet Microsoft lov til tage kontrol over internetservere, som Trickbot bruger til sit forehavende.

En ’coalition’ af teknologivirksomheder med Microsoft i spidsen har iværksat et koordineret angreb i forsøget på at bremse Trickbot, som har inficeret millioner af computere verdenen og banet vejen for ransomware. Det skriver Krebs on Security med flere.

Trickbot

Trickbotbotnettet er et af verdens største botnet og startede i 2016 som en banktrojaner for derefter at blive til malware-as-a-service.

Ifølge teknologivirksomhederne er Trickbot er blevet brugt til at stjæle adgangskoder fra millioner af inficerede computere og angiveligt til at kapre adgang til mere end 250 millioner e-mail-konti, hvorfra nye kopier af malware sendes til offerets kontakter. Trickbots malware-as-a-service-funktion har gjort det til et pålideligt værktøj til implementering af forskellige typer af ransomware, hvilket som bekendt forårsager, at adgangen til inficerede systemer på et virksomhedsnetværk låses, indtil virksomheden betaler løsesum.

En særlig destruktiv ransomware, der er tæt forbundet med Trickbot - er  “Ryuk” eller “Conti” - som har været ansvarlig for angreb på utallige organisationer i løbet af det sidste år, herunder sundhedsudbydere, forskningscentre og hospitaler.

Rekognoscering

Forud for angrebet på Trickbot lavede alle virksomhederne undersøgelser af TrickBots backend-infrastruktur, som består af servere og malware-moduler. Parterne tilbragte måneder på at indsamle mere end 125.000 malwareprøver med relation til TrickBot. De analyserede indholdet og forsøgte at kortlægge oplysninger omkring malwarens indre funktion. Dette involverede også alle de servere botnettet brugte til at kontrollere de inficerede computere.

Med de oplysninger i hånden gik Microsoft til retten for at få en retskendelse til at kunne tage kontrol over Trickbot-serverne.

Om det også bliver en succes er endnu for tidligt at sige. Mange andre botnets har tidligere overlevet lignende hændelser. Det bedste eksempel på dette er Kelihos botnet, som overlevede tre forsøg, hvor de genopbyggede botnettet fra bunden og fortsatte med at fungere.

Links:

https://krebsonsecurity.com/2020/10/microsoft-uses-copyright-law-to-disrupt-trickbot-botnet/

https://www.zdnet.com/article/microsoft-and-other-tech-companies-orchestrate-takedown-of-trickbot-botnet/

https://www.bleepingcomputer.com/news/security/trickbot-botnet-targeted-in-takedown-operations-little-impact-seen/

https://www.cyberscoop.com/trickbot-takedown-cyber-command-microsoft/