Microsoft вместе другими компаниями «закрывают» ботнет TrickBot

Microsoft Digital Crimes Unit, Lumen’s Black Lotus Labs, ESET, Центр обмена информацией и анализа финансовых услуг, NTT и Broadcom’s Symantec начали сотрудничать для полного прекращения работы ботнета TrickBot.

Это произошло после того, как киберкомандование США развернуло кампанию по предотвращению распространения TrickBot из-за опасений по поводу атак программ-вымогателей, нацеленных на системы голосования в преддверии президентских выборов.

Microsoft и ее партнеры проанализировали более 186 000 образцов TrickBot, используя их для отслеживания инфраструктуры управления и контроля, используемой для связи с «жертвами», и определения IP-адресов серверов C2 и других TTP, используемых для уклонения от обнаружения.

На основании этих доказательств суд разрешил приостановить все услуги для операторов ботнета и заблокировать любые попытки операторов TrickBot приобрести или арендовать дополнительные серверы.

«С годами операторы TrickBot смогли создать массивный ботнет, и вредоносная программа превратилась в модульную вредоносную программу, доступную для вредоносного ПО как услуги», — заявили в Microsoft.

«Инфраструктура TrickBot стала доступной для киберпреступников, которые использовали ботнет в качестве отправной точки для кампаний, управляемых человеком, включая атаки с целью кражи учетных данных, эксфильтрации данных и развертывания дополнительных полезных нагрузок, в первую очередь программ-вымогателей Ryuk, в целевых сетях».

На сегодняшний день TrickBot заразила более миллиона компьютеров. Компания Microsoft предупредила, что не киберпреступники, стоящие за ботнетом, скорее всего, приложат все усилия для сохранения своей деятельность.

По данным швейцарской компании Feodo Tracker, восемь управляющих серверов TrickBot, некоторые из которых были впервые замечены на прошлой неделе, по-прежнему работают после удаления.