22 oct 2020

Microsoft anuncia el desmantelamiento de la botnet Trickbot

¡Buenas!

Microsoft anunció hace unos días en su blog el desmantelamiento de la botnet Trickbot en el marco de las acciones llevadas a cabo para combatir ciberataques con ransomware durante las elecciones de Estados Unidos

Se trata de una gran noticia puesto que, en los últimos tiempos ha sido una de las amenazas que mayor impacto ha causado al tener capacidades para desplegar otro malware, como por ejemplo, el ransomware Ryuk. Una de las vías principales de infección del malware Trickbot ha sido a través de campañas de malspam, empleando temáticas tan actuales como la pandemia por COVID-19 o el movimiento Black Live Matters, en las que, mediante ficheros adjuntos maliciosos con el malware Emotet, se propiciaba la descarga de Trickbot y, mientras que Emotet se aprovechaba movimientos laterales para propagarse y seguir desplegando Trickbot, este último robaba información sensible, realizaba nuevos movimientos laterales para continuar con su propagación y activaba el ransomware Ryuk, como se tuvo constancia en España desde finales de 2019 con afectación en administraciones públicas y en empresas privadas.

Flujo de despliegue de Trickbot a través de Emotet. Fuente: Kryptoslogic.com

Como resultado de esta acción llevada a cabo por Microsoft y operadores de telecomunicaciones, los cibercriminales no van a poder seguir utilizando la infraestructura desactivada para continuar propagando Trickbot ni para activar otros payloads en aquellos equipos que ya estuvieran infectados.

Para ello, se han valido de una investigación que permitió identificar los servidores de comando y control que empleaban los cibercriminales, procediendo a la suspensión y bloqueo de dichas direcciones IP. En este caso, la principal novedad es que se ha contado con una orden judicial del Tribunal del Este de Virginia para detener las operaciones de Trickbot, debido a que se empleó como argumento jurídico en la demanda la infracción de derechos de autor por el uso de software propiedad de Microsoft con fines maliciosos.

Sin embargo, no se descarta que los cibercriminales encuentren nuevas vías para explotar este malware más pronto que tarde, por lo que no se debe bajar la guardia frente a esta y el resto de amenazas que puedan existir o surgir.

¡¡Saludos y hasta el próximo post!!

No hay comentarios:

Publicar un comentario