Los operadores de Trickbot, una botnet de alquiler que ha infectado más de 1 millón de dispositivos desde 2023, están buscando nuevas formas de mantenerse a flote después de que Microsoft y una serie de socios de la industria tomaron medidas coordinadas para interrumpirlo la semana pasada.
En una actualización publicada el martes, el vicepresidente corporativo de seguridad y confianza de Microsoft, Tom Burt, dijo que la operación inicialmente logró eliminar 62 de los 69 servidores que se sabía que Trickbot estaba usando para controlar su vasta red de dispositivos infectados. Los operadores de Trickbot respondieron activando rápidamente 59 nuevos servidores, y Microsoft pudo eliminarlos todos excepto uno.
En total, la operación de toda la industria eliminó 120 de los 128 servidores identificados como pertenecientes a Trickbot. Ahora, Trickbot está respondiendo utilizando un grupo criminal de la competencia para distribuir el malware Trickbot.
Luchando por mantenerse con vida
“Esta es una de las muchas señales que nos sugiere que, frente a su infraestructura crítica bajo ataques repetidos, los operadores de Trickbot están luchando por encontrar otras formas de mantenerse activos”, escribió Burt. “Si bien un acuerdo con otros actores no permitirá que Trickbot iguale sus capacidades locales, también es un recordatorio de que existen muchas amenazas para mantener seguro el ciberespacio y es importante que las personas, especialmente aquellas involucradas en la seguridad de nuestros procesos electorales, permanezcan alerta. .”
Burt, quien supervisó varias eliminaciones de botnets globales en el pasado, dijo que la industria está mejorando. Después de identificar nuevos servidores Trickbot, Microsoft y sus socios pudieron ubicar a sus respectivos proveedores de alojamiento, iniciaron las acciones legales requeridas y desmantelaron la nueva infraestructura en tan solo tres horas. Con la coordinación de muchos socios, un derribo tomó menos de seis minutos desde el momento en que se notificó al proveedor que aloja el servidor.
Burt también dijo que reconstruir una infraestructura de servidores de comando requiere mucho tiempo y no es simplemente una cuestión de configurar nuevos servidores. “Es necesario aprovisionar nuevos servidores para comenzar a hablar con los dispositivos infectados de la botnet y emitir comandos, todo lo cual lleva tiempo”. Dijo que muchos de los servidores que permanecen en pie son enrutadores u otros tipos de dispositivos de Internet de las cosas que no son vulnerables a los procedimientos normales de eliminación.
Las personas fuera de Microsoft estuvieron de acuerdo en que el derribo parece estar dando resultados. Marcus Hutchins, un investigador que sigue de cerca las botnets, dijo que Trickbot tiene dos clases de servidores. Los servidores de comandos actualizan las configuraciones y envían comandos, mientras que los servidores de complementos descargan herramientas modulares que se utilizan para fraudes bancarios, infectar computadoras nuevas o enviar spam.
Incluso un solo servidor de comando puede decirle rápidamente a todas las computadoras infectadas dónde encontrar nuevos servidores de control, por lo que el desmantelamiento parcial de ellos no es un gran golpe, dijo Hutchins. De hecho, en las horas previas a la publicación de esta publicación, los operadores de botnets pudieron agregar 13 nuevos servidores de comando.
También miré y enviaron una nueva lista de servidores con servidores que funcionan al 100%.
—Marcus Hutchins (@MalwareTechBlog) 20 de octubre de 2023
Donde las cosas se vuelven más optimistas para los miembros de eliminación es que, por alguna razón, ninguno de los servidores de complementos está siendo reemplazado.
“Sin los servidores de complementos, el bot es solo un cargador sin nada que cargar”, me dijo Hutchins. “Esencialmente, la botnet está fuera de servicio por ahora. Mientras tengan C2 en funcionamiento, podrían revivirlo. Pero tal como está, no lo han hecho”.
«No estoy muerto aún»
Hutchins dijo que la victoria no es completa. Por un lado, es posible que los servidores de complementos aún se puedan restaurar. Y por otro lado, en el momento en que se publicó esta publicación, los operadores de Trickbot estaban implementando activamente ransomware utilizando lo que se llama BazarLoader.
Todavía es demasiado pronto para declarar la victoria. No está claro precisamente por qué no se reemplazan los servidores de complementos. Si los servidores de complementos regresan, es probable que regresen los trucos maliciosos normales de Trickbot.
“Definitivamente no está muerto”, dijo Hutchins, “solo incapacitado”.
