Vài ngày sau khi Chính phủ Hoa Kỳ thực hiện các bước để phá vỡ sự nổi tiếng Mạng botnet TrickBot, một nhóm các công ty công nghệ và an ninh mạng đã trình bày chi tiết một nỗ lực phối hợp riêng biệt nhằm gỡ bỏ cơ sở hạ tầng back-end của phần mềm độc hại.
Sự hợp tác chung, có sự tham gia của Microsoft Đơn vị tội phạm kỹ thuật số, Lumen’s Phòng thí nghiệm Hoa sen đen, ESET, Trung tâm Phân tích và Chia sẻ Thông tin Dịch vụ Tài chính (FS-ISAC), NTTvà Broadcom’s Symantec, được thực hiện sau khi họ yêu cầu ngừng hoạt động của TrickBot đã được Tòa án Quận phía Đông của Virginia chấp thuận.
Sự phát triển được đưa ra sau khi Bộ Tư lệnh Không gian mạng Hoa Kỳ gắn kết một chiến dịch để ngăn chặn sự lây lan của TrickBot do lo ngại về các cuộc tấn công ransomware nhắm vào các hệ thống bỏ phiếu trước cuộc bầu cử tổng thống vào tháng tới. Các nỗ lực nhằm cản trở mạng botnet lần đầu tiên được báo cáo bởi KrebsOnSecurity đầu tháng này.
Microsoft và các đối tác đã phân tích hơn 186.000 mẫu TrickBot, sử dụng nó để theo dõi cơ sở hạ tầng ra lệnh và kiểm soát (C2) của phần mềm độc hại được sử dụng để giao tiếp với máy nạn nhân và xác định địa chỉ IP của máy chủ C2 và các TTP khác được áp dụng để tránh bị phát hiện.
“Với bằng chứng này, tòa án đã chấp thuận cho Microsoft và các đối tác của chúng tôi vô hiệu hóa địa chỉ IP, khiến nội dung được lưu trữ trên các máy chủ chỉ huy và điều khiển không thể truy cập được, tạm dừng tất cả các dịch vụ đối với các nhà khai thác mạng botnet và chặn mọi nỗ lực mua của các nhà khai thác TrickBot hoặc thuê thêm máy chủ, “Microsoft cho biết.
Kể từ nguồn gốc của nó là một Trojan ngân hàng vào cuối năm 2016, TrickBot đã phát triển thành một con dao của Quân đội Thụy Sĩ có khả năng ăn cắp thông tin nhạy cảm và thậm chí thả ransomware và bộ công cụ sau khai thác trên các thiết bị bị xâm nhập, ngoài việc tuyển dụng chúng vào một gia đình bot.
“Trong những năm qua, các nhà điều hành của TrickBot đã có thể xây dựng một mạng botnet lớn và phần mềm độc hại này đã phát triển thành một phần mềm độc hại mô-đun có sẵn cho phần mềm độc hại dưới dạng dịch vụ” Microsoft cho biết.
“Cơ sở hạ tầng TrickBot được cung cấp cho tội phạm mạng sử dụng botnet như một điểm vào cho các chiến dịch do con người điều hành, bao gồm các cuộc tấn công lấy cắp thông tin đăng nhập, lấy cắp dữ liệu và triển khai các tải trọng bổ sung, đáng chú ý nhất là Ryuk ransomware, trong các mạng mục tiêu.”
Thường được phân phối thông qua các chiến dịch lừa đảo tận dụng các sự kiện hiện tại hoặc chiêu dụ tài chính để lôi kéo người dùng mở tệp đính kèm độc hại hoặc nhấp vào liên kết đến các trang web lưu trữ phần mềm độc hại, TrickBot cũng đã được triển khai như một trọng tải giai đoạn hai của một mạng botnet bất chính khác được gọi là Emotet.
Cho đến nay, hoạt động của tội phạm mạng đã lây nhiễm hơn một triệu máy tính.
Tuy nhiên, Microsoft cảnh báo rằng họ không mong đợi hành động mới nhất sẽ làm gián đoạn TrickBot vĩnh viễn, đồng thời nói thêm rằng tội phạm mạng đằng sau mạng botnet có thể sẽ nỗ lực để hồi sinh hoạt động của chúng.
Theo Thụy Sĩ Feodo Tracker, tám máy chủ kiểm soát TrickBot, một số trong số đó được nhìn thấy lần đầu tiên vào tuần trước, vẫn trực tuyến sau khi gỡ xuống.
