Operazione TrickBot: Microsoft coordina l'attacco alla botnet

Microsoft guida l'attacco alla botnet TrickBot

Operazione finalizzata al takedown di una delle botnet più attive del momento, responsabile tra le altre cose della diffusione di campagne ransomware.
Microsoft guida l'attacco alla botnet TrickBot
Operazione finalizzata al takedown di una delle botnet più attive del momento, responsabile tra le altre cose della diffusione di campagne ransomware.

Una task force composta da esperti provenienti da realtà come il team Defender di Microsoft, FS-ISAC (Financial Services Information Sharing and Analysis Center), ESET, Black Lotus Labs, NTT, e Symantec ha lavorato con l’obiettivo di smantellare la botnet TrickBot e l’infrastruttura dedita alla sua gestione. Uno sforzo passato attraverso mesi di indagini e dall’analisi di oltre 125.000 malware distribuiti infettando complessivamente un quantitativo di computer ritenuto superiore al milione. Interessati anche dispositivi riconducibili all’ambito della Internet of Things.

TrickBot: operazione coordinata da Microsoft

Lo United States District Court for the Eastern District of Virginia ha riconosciuto al gruppo di Redmond l’autorizzazione necessaria a interfacciarsi con gli ISP e le unità CERT (Computer Emergency Readiness Team) per spegnere la botnet e avviare una campagna di comunicazione finalizzata ad avvisare le vittime del rischio corso. Una vera e proprio operazione di takedown.

Con queste prove, la corte ha concesso a Microsoft e ai suoi partner l’approvazione per disabilitare gli indirizzi IP, per rendere inaccessibili i contenuti e per mettere offline i server C&C, sospendendo tutti i servizi degli operatori coinvolti nella botnet, bloccando ogni loro tentativo di acquistare o affittare server aggiuntivi.

La storia di TrickBot affonda le sue radici nel 2016 con i primi avvistamenti relativi a un banking trojan. Successivamente è stato trasformato in malware downloader in grado di infettare i sistemi colpiti fornendo l’accesso ai cybercriminali dando così vita a un modello noto come MaaS (Malware-as-a-Service).

È considerata dagli addetti ai lavori una delle minacce informatiche più gravi tra quelle in circolazione, insieme a Emotet, veicolo attraverso il quale sono state messe in atto campagne ransomware da gang note come Ryuk e Conti. Vedremo se il tentativo di takedown andrà a buon fine o meno.

Si tratta della seconda botnet presa di mira da Microsoft e dai suoi partner in questo 2020: nel mese di marzo era toccato a Necurs con un’operazione del tutto simile.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
13 ott 2020
Link copiato negli appunti