Microsoft silencia la red de ransomware Trickbot | La seguridad cibernética


Por John P. Mello Jr.

13 de octubre de 2020 4:17 a.m. PT

Microsoft ha interrumpido una red en línea ilegal que se ha utilizado para infectar millones de computadoras con ransomware.

La compañía anunció el lunes que, junto con los proveedores de telecomunicaciones de todo el mundo, pudo cortar la infraestructura utilizada por la botnet Trickbot para que ya no pudiera usarse para iniciar nuevas infecciones o activar ransomware ya plantado en los sistemas informáticos.

El vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, Tom Burt, señaló en un blog de la empresa que el gobierno de los Estados Unidos y expertos independientes advirtieron que el ransomware es una de las mayores amenazas para las próximas elecciones.

“Los adversarios pueden usar ransomware para infectar un sistema informático utilizado para mantener listas de votantes o informar sobre los resultados de la noche de las elecciones, apoderándose de esos sistemas a una hora prescrita optimizada para sembrar el caos y la desconfianza”, escribió Burt.

“Además de proteger la infraestructura electoral de los ataques de ransomware”, agregó, “la acción de hoy protegerá a una amplia gama de organizaciones, incluidas instituciones de servicios financieros, agencias gubernamentales, centros de atención médica, empresas y universidades de las diversas infecciones de malware que Trickbot habilitó”.

Amenaza potencial versus amenaza real

La eliminación de la botnet Trickbot reduce de forma inmediata y drástica el daño continuo causado por la red maliciosa, observó Matt Ashburn, jefe de iniciativas estratégicas de Auténtico8, fabricante de un navegador web basado en la nube.

El ex agente de la CIA y CISO del Consejo de Seguridad Nacional dijo a TechNewsWorld: “Si se le permitiera continuar, esta botnet podría haber afectado indirectamente las elecciones en curso y las próximas al comprometer o corromper los sistemas utilizados para el registro de votantes, la coordinación de elecciones y otros sistemas de apoyo en los que confía gobiernos estatales y locales “.

Si bien existe la posibilidad de que Trickbot interrumpa las elecciones estadounidenses, la amenaza real puede ser menos grave de lo que se dice. “No hemos visto que Trickbot se aproveche para amenazar las elecciones de Estados Unidos de ninguna manera”, dijo Jean-Ian Boutin, jefe de investigación de amenazas en Eset, una empresa de seguridad de tecnología de la información, dijo a TechNewsWorld.

“Si bien no hemos observado ninguna motivación por parte de estos atacantes para ir después de las elecciones, el potencial existe debido al tamaño de la botnet”, agregó Vikram Thakur, director técnico de Symantec, una división de Broadcom.

“La amenaza proviene de Trickbot que envía ransomware a las computadoras que podrían estar asociadas con las elecciones”, dijo a TechNewsWorld.

Malware como servicio

Burt de Microsoft señaló que Trickbot ha infectado a más de un millón de computadoras desde 2016. “Si bien se desconoce la identidad exacta de los operadores, la investigación sugiere que sirven tanto a los estados nacionales como a las redes criminales para una variedad de objetivos”, agregó.

“Lo que lo hace tan peligroso es que tiene capacidades modulares que evolucionan constantemente, infectando a las víctimas para los propósitos de los operadores a través de un modelo de ‘malware como servicio'”, explicó.

“Sus operadores podrían proporcionar a sus clientes acceso a máquinas infectadas y ofrecerles un mecanismo de entrega para muchas formas de malware, incluido el ransomware”, continuó.

Burt también escribió que más allá de infectar las computadoras de los usuarios finales, Trickbot también ha infectado una serie de dispositivos de Internet de las cosas, como enrutadores, lo que ha extendido el alcance de Trickbot a hogares y organizaciones.

El malware como servicio puede ser una bendición para los piratas informáticos menos capacitados, sostuvo Jack Mannino, CEO de nVisium, un proveedor de seguridad de aplicaciones. “Reduce la dificultad para mantener la infraestructura de ransomware y lanzar ataques, nivelando el campo de juego para los adversarios menos hábiles”, dijo a TechNewsWorld.

Austin Merritt, analista de inteligencia de amenazas cibernéticas para Sombras digitales, un proveedor de soluciones de protección de riesgos digitales, agregó que Ransomware as a Service (RaaS) brinda a los actores de amenazas todos los beneficios de un ataque de ransomware regular, sin la molestia de escribir su código.

“En esencia”, dijo a TechNewsWorld, “reduce la barrera de entrada para los ciberdelincuentes en el panorama del ransomware”.

También genera dinero para sus autores. “Vendes un servicio de suscripción como cualquier otro proveedor de SaaS y ganas dinero con él”, observó Karen Walsh, directora de Soluciones Allegro, una empresa de marketing de ciberseguridad.

“Es una producción de capital baja para un ingreso alto”, dijo a TechNewsWorld. “En 2018, el ciberdelito como servicio generó 1.600 millones de dólares”.

Una botnet aparte

Otras redes de bots están diseñadas de manera similar a Trickbot, pero no son tan específicas, señaló John Hammond, investigador senior de seguridad en Laboratorios Huntress, una empresa de inteligencia y detección de amenazas.

“Se propaga mediante campañas de spam maliciosas con una marca muy sofisticada para hacerse pasar por terceros confiables como Microsoft y otras fuentes oficiales”, dijo a TechNewsWorld.

Agregó que instala la persistencia en la máquina local para que los actores de amenazas puedan mantener su acceso y continuar sus operaciones. “Esto permite a los atacantes flexibilidad a través de un canal de comando y control para implementar ransomware o causar más estragos”, explicó Hammond.

Su diseño modular también contribuye a su flexibilidad, lo que le permite actualizarse y agregar funciones de forma remota. “Esta capacidad es una de las razones por las que es tan popular entre los ciberdelincuentes”, dijo Merritt, de Digital Shadows. “Se puede personalizar y desarrollar aún más para que sea más eficaz y rentable”.

Elevar la moral de los defensores

Burt señaló que Microsoft tomó un nuevo rumbo legal para cerrar Trickbot.

“Nuestro caso incluye reclamos de derechos de autor contra el uso malicioso de nuestro código de software por parte de Trickbot”, escribió. “Este enfoque es un avance importante en nuestros esfuerzos por detener la propagación de malware, lo que nos permite tomar medidas civiles para proteger a los clientes en la gran cantidad de países de todo el mundo que cuentan con estas leyes”.

Mark Kedgley, director de tecnología de Nuevas tecnologías de red, un proveedor de software de cumplimiento y seguridad de TI, elogió la estrategia de Microsoft. “La nueva táctica de utilizar la ley de derechos de autor para perseguir a los actores de amenazas es una forma creativa de obtener respaldo legal para llevar la lucha a los Botnet Wranglers”, dijo.

“Es bueno ver que, hasta ahora, parece haber sido eficaz para cerrar la mayor parte de la red de comando y control”, dijo a TechNewsWorld.

Merritt agregó que la estrategia puede ser una forma efectiva de frustrar la propagación de malware, especialmente con la ayuda de las fuerzas del orden. “La acción civil puede proteger a los clientes en muchos países del mundo que tienen leyes de derechos de autor”, sostuvo.

Sin embargo, agregó, “Es imposible saber cómo reaccionará TrickBot a este enfoque. Los operadores de TrickBot tienen mecanismos de respaldo que les permiten mantener la botnet y recuperar computadoras perdidas infectadas con Trickbot”.

Independientemente de cómo reaccione la pandilla Trickbot a las acciones de Microsoft, levantarán la moral entre los acosados ​​defensores de los sistemas corporativos.

“La reciente prevalencia del ransomware ha dejado a los defensores luchando por mantenerse al día y preguntándose cómo se puede detener a estos operadores”, observó Katie Nickels, directora de inteligencia de Canario rojo, un proveedor de servicios de seguridad basados ​​en la nube.

“Para los defensores que luchan contra los operadores de ransomware todos los días”, dijo a TechNewsWorld, “es emocionante ver acciones que podrían disuadir a algunos de estos operadores”.


John P. Mello Jr. ha sido reportero de ECT News Network desde 2003. Sus áreas de enfoque incluyen ciberseguridad, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado numerosas publicaciones, incluida la Boston Business Journal, el
Boston Phoenix, Megapixel.Net y Noticias de seguridad del gobierno. Envíe un correo electrónico a John.

.



Source link