Una operación global ha conseguido desactivar los servidoresde mando y control de Trickbot, una de las botnets más peligrosas del mundo yuna prolífica distribuidora de ransomware.
Las empresas y organizaciones que han participado en esta operación incluyen a Microsoft, a la compañía de ciberseguridad ESET, al centro de investigación Black Lotus Labs de Lumen y a la empresa de telecomunicaciones NTT, entre otras. Todas ellas pasaron meses recolectando más de 125.000 muestras del malware Trickbot, analizando su contenido y extrayendo y mapeando información sobre su funcionamiento interno, incluidos todos los servidores que utilizó la botnet para controlar los ordenadores infectados.
"A lo largo detodo este tiempo, se ha observado cómo Trickbot comprometía dispositivos de unamanera estable, convirtiéndola en una de las botnets más longevas", haseñalado Jean-Ian Boutin, responsable de investigación de amenazas en ESET.
Una vez recopilada toda esta información sobre Trickbot, Microsoftsolicitó una orden judicial para detener sus operaciones.
"Con esta evidencia, el tribunal otorgó la aprobación para que Microsoft y nuestros socios deshabiliten las direcciones IP, hagan inaccesible el contenido almacenado en los servidores de comando y control, suspendan todos los servicios a los operadores de botnets y bloqueen cualquier esfuerzo de los operadores de Trickbot para comprar o arrendar servidores adicionales", ha declarado Microsoft en un comunicado.
"Esteacercamiento es un importante paso en nuestros esfuerzos por parar lapropagación de malware, que nos permite tomar acción civil para proteger aconsumidores de un largo número de países del mundo que cuentan con estasleyes. Anticipamos que los operadores de Trickbot van a intentar reactivar susoperaciones, y trabajaremos con nuestros socios para monitorear sus actividadesy tomar medidas legales y técnicas adicionales para detenerlos", haagregado el gigante tecnológico.
Trickbot, una botnet peligrosa y duradera
Trickbot ha infectado a más de un millón de dispositivos entodo el mundo desde que fue detectada por primera vez a finales de 2016 y se haconvertido en una de las botnets más grandes y duraderas que existen. Comorefleja el Informe de amenazas Q1 2020 de ESET, Tribot es una de las familiasde malware bancario más prevalentes y una amenaza para los usuarios de interneta nivel mundial.
Durante sus años de funcionamiento, Trickbot se ha distribuido de diferentes formas. En el pasado, era fundamentalmente utilizado como un troyano que robaba cuentas bancarias y que pretendía realizar transferencias fraudulentas. Y más recientemente, ha sido usado junto a Emotet y Ryuk para alcanzar, inspeccionar y cifrar los servidores de empresas y organizaciones. "Es una de las botnets más peligrosas hoy por el número de máquinas infectadas y por la cadena que formaban Emotet, Trickbot y Ryuk", ha asegurado Josep Albors, responsable de investigación de ESET España.
Esta es la segunda botnet de malware más importante que se ha eliminado este año después de que Microsoft desarticulara Necurs el pasado mes de marzo, una red delictiva de bots que había infectado 9 millones de ordenadores. Sin embargo, el éxito de esta operación global contra Trickbot todavía está por verse. "Muchas otras redes de bots han sobrevivido a derribos similares en el pasado. El mejor ejemplo de esto es la botnet Kelihos, que sobrevivió a tres intentos de eliminación, se reconstruyó desde cero y siguió funcionando", apunta el portal especializado ZdNet.