Microsoft ayudó a interrumpir la infame botnet Trickbot

No es solo el gobierno de EE. UU. Corriendo para interrumpir la botnet Trickbot antes de las elecciones. Microsoft ha revelado que él y varios socios (incluidos ESET, Black Lotus Labs de Lumen, NTT, Symantec y FS-ISAC) han tomado medidas para interrumpir Trickbot. El gigante tecnológico obtuvo una orden judicial y utilizó una "acción técnica" para evitar que la botnet iniciara nuevas infecciones o activara cualquier ransomware inactivo.

La aprobación judicial de la empresa le permitió deshabilitar las direcciones IP para los servidores de comando y control de Trickbot, suspender los servicios a los operadores, hacer que el contenido del servidor sea inaccesible y bloquear a los operadores para que no compren o arrendan más servidores. Además de esto, Microsoft incluso hizo reclamos de derechos de autor contra Trickbot por supuestamente hacer un "uso malicioso" del código de la empresa.

¿Qué le preocupaba a Microsoft?

A la empresa tecnológica Microsoft le preocupaba principalmente que los operadores de Trickbot usaran la botnet para interrumpir las inminentes elecciones estadounidenses a través del ransomware. Los atacantes podrían bloquear los sistemas que mantienen listas de votantes o informan sobre los resultados de la noche de las elecciones, dijo la compañía. La interrupción también podría ayudar a frustrar los intentos de secuestrar cuentas bancarias y amenazar a instituciones críticas que utilizan ransomware como Ryuk, que se ha relacionado con la muerte de un paciente de un hospital alemán, así como con ataques contra ciudades e incluso periódicos.

Esto no parece haber sido coordinado con el gobierno de EE. UU. Funcionarios anónimos que hablaron con el New York Times afirmaron que Cyber Command ya había comenzado a piratear los servidores de Trickbot a fines de septiembre. Microsoft solo descubrió este esfuerzo al lanzar el suyo, dijo el periódico. En ambos casos, los planes anti-botnet estaban destinados a evitar cualquier posible ataque ruso en un momento crítico. No está claro que Rusia tuviera la intención de usar Trickbot para una campaña de malware, pero esto teóricamente elimina la opción con pocas oportunidades para que los perpetradores se reagrupen antes de la votación del 3 de noviembre.

Cualquiera que sea la intención, sigue siendo un golpe significativo. Trickbot fue el método de entrega principal para ransomware como Ryuk. Sin él, los ciberdelincuentes y cualquier actor patrocinado por el estado tendrán que luchar para encontrar alternativas. Si bien no es probable que esto sea un revés permanente, podría dar un respiro a los expertos en seguridad y posibles objetivos.