Una task force composta da esperti provenienti da realtà come il team Defender di Microsoft, FS-ISAC (Financial Services Information Sharing and Analysis Center), ESET, Black Lotus Labs, NTT, e Symantec ha lavorato con l’obiettivo di smantellare la botnet TrickBot e l’infrastruttura dedita alla sua gestione. Uno sforzo passato attraverso mesi di indagini e dall’analisi di oltre 125.000 malware distribuiti infettando complessivamente un quantitativo di computer ritenuto superiore al milione. Interessati anche dispositivi riconducibili all’ambito della Internet of Things.
TrickBot: operazione coordinata da Microsoft
Lo United States District Court for the Eastern District of Virginia ha riconosciuto al gruppo di Redmond l’autorizzazione necessaria a interfacciarsi con gli ISP e le unità CERT (Computer Emergency Readiness Team) per spegnere la botnet e avviare una campagna di comunicazione finalizzata ad avvisare le vittime del rischio corso. Una vera e proprio operazione di takedown.
Con queste prove, la corte ha concesso a Microsoft e ai suoi partner l’approvazione per disabilitare gli indirizzi IP, per rendere inaccessibili i contenuti e per mettere offline i server C&C, sospendendo tutti i servizi degli operatori coinvolti nella botnet, bloccando ogni loro tentativo di acquistare o affittare server aggiuntivi.
La storia di TrickBot affonda le sue radici nel 2016 con i primi avvistamenti relativi a un banking trojan. Successivamente è stato trasformato in malware downloader in grado di infettare i sistemi colpiti fornendo l’accesso ai cybercriminali dando così vita a un modello noto come MaaS (Malware-as-a-Service).
È considerata dagli addetti ai lavori una delle minacce informatiche più gravi tra quelle in circolazione, insieme a Emotet, veicolo attraverso il quale sono state messe in atto campagne ransomware da gang note come Ryuk e Conti. Vedremo se il tentativo di takedown andrà a buon fine o meno.
Si tratta della seconda botnet presa di mira da Microsoft e dai suoi partner in questo 2020: nel mese di marzo era toccato a Necurs con un’operazione del tutto simile.