I settori pubblico e privato si uniscono per sconfiggere le botnet.
TrickBot, una rete di malware che viene spesso descritta come una delle più grandi al mondo con almeno un milione di PC, fa nuovamente parlare di se. All’inizio di questo mese, la botnet è stata oggetto di due azioni indipendenti per eliminarla: da Microsoft e dal Cyber Command statunitense.
Entrambi questi sforzi miravano a un attacco preventivo prima delle elezioni statunitensi di novembre e non hanno avuto completamente successo: gli operatori di TrickBot sono stati in grado di recuperare l’accesso ai loro computer entro mezza giornata dopo che Cyber Command ha inviato aggiornamenti fasulli ai PC della botnet così da mandarli offline. Ma l’aspetto interessante di questa notizia è che le due organizzazioni abbiano lavorato per cercare di fermare le attività della botnet.
Sebbene la botnet non sia stata utilizzata contro alcuna rete di elaborazione elettorale, DoD era preoccupato che potesse essere impiegata proprio per questo scopo visto che da sempre si sospetta che questa rete criminale venga sponsorizzata dallo stato russo. Il Cyber Command si è concentrato recentemente sul coinvolgimento diretto con i gruppi di malware, di cui è co-autore il generale Paul Nakasone, direttore della NSA. “Abbiamo imparato che non possiamo permetterci di aspettare che gli attacchi informatici colpiscano le nostre reti militari. Abbiamo imparato che la difesa delle nostre reti militari richiede l’avvio di operazioni al di fuori delle nostre reti militari. La minaccia si è evoluta e noi ci siamo evoluti per affrontarla”, ha scritto.
TrickBot è spesso il primo segno di un attacco che include altre campagne malware. A luglio, i ricercatori hanno scoperto che i suoi creatori avevano aggiunto un modulo per rubare dati dalle sessioni del browser, avvisando allo stesso tempo gli utenti che stava facendo qualcosa di sbagliato. Forse era un bug, non una caratteristica! A giugno, i ricercatori si sono imbattuti in un’e-mail di attacco che sfruttava una falsa campagna di voto Black Lives Matter per distribuire il malware TrickBot. Nel 2019, 22 reti del governo della città del Texas sono state infettate da TrickBot. Quello era solo l’inizio dell’attacco: l’infezione ha veicolato il ransomware Sodinokibi . Per avere un’idea di quanto sia pervasivo TrickBot, il tracker di Feodo tiene il conto degli indirizzi IP effettivi dell’host che sono stati compromessi da TrickBot (insieme ad altre campagne malware). Sarà possibile constatare che sono state identificate dozzine di origini da cui sono stati sferrati gli attacchi delle ultime settimane. Un ricercatore citato da Brian Krebs afferma che la botnet ha rubato più di 7 milioni di credenziali di utenti durante le sue attività.
Le origini di TrickBot
TrickBot è apparso per la prima volta nel 2016 come malware bancario ed è stato utilizzato principalmente per rubare le credenziali per il banking online. Funziona dirottando il browser di un utente e quindi copiando i dati di accesso ai servizi bancari all’insaputa dell’utente. È stato spesso associato ai ceppi di ransomware Emotet e Ryuk e in questo post dei ricercatori di Intel471 viene analizzata questa relazione. È proprio il rapporto con questi attacchi ransomware che ha fatto preoccupare sia Microsoft (insieme ad altri partner di infosec) sia il DoD sul suo utilizzo.
Microsoft ha analizzato più di 60.000 campioni di TrickBot. Ha monitorato la sua evoluzione e mostra come la botnet sia diventata il fulcro di un’impresa criminale “malware as a service”. Dicono che ” TrickBot è stata l’operazione di malware più prolifica che abbia utilizzato esche a tema COVID-19″. Ciò che è interessante e nuovo riguardo allo sforzo di rimozione di Microsoft è che è iniziato con una causa presso il tribunale distrettuale degli Stati Uniti in Virginia per disabilitare una serie di indirizzi IP particolari. Nella causa è stato affermato che TrickBot ha violato il codice protetto da copyright di Microsoft. Microsoft ha collaborato con una serie di altre società di sicurezza per interrompere le operazioni di TrickBot.
Anche il team di sicurezza di HP ha monitorato la sua evoluzione questa estate, da semplice downloader di malware a “dropper” più sofisticato in cui la payload del malware è nascosta all’interno del suo file eseguibile e che lo rende più difficile da scoprire. HP ha affermato che le versioni più recenti di TrickBot sono state rilevate solo da pochi scanner, e che addirittura alcune siano riuscite a evitare qualsiasi rilevamento. Altri ricercatori di sicurezza hanno trovato più di due dozzine di moduli di codice diversi , alcuni dei quali utilizzati per raccogliere password da varie applicazioni.
Guardando avanti
Chiaramente, il tentativo di rimozione di TrickBot è solo un inizio delle attività che si dovranno intraprendere. Ciò che è interessante è il modo in cui il settore pubblico e privato hanno lavorato in tandem, utilizzando nuove strategie come violazioni del copyright e operazioni di livello militare.
Lascia un commento