Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Microsoft utiliza la ley de marcas comerciales para intentar interrumpir la botnet Trickbot


 Microsoft y varias empresas de ciberseguridad desactivan una de las mayores botnets del mundo. Microsoft y las firmas de ciberseguridad ESET, NTT y Black Lotus Labs se han unido para intentar poner fin y bloquear los ataques de Trickbot. Aunque la realidad es que la actuación es probable que falle cualquier intento de derribar a Trickbot, ya que su método de comunicación de respaldo se basa en ToR y EmerDNS, lo que permite el uso de dominios que ninguna autoridad puede eliminar.


 
  • Las entidades involucradas en la eliminación son el equipo Defender de Microsoft, FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT, y la división de seguridad cibernética de Broadcom, Symantec.
  • Trickbot distribuye el malware de distintas formas, en ocasiones aprovechando sistemas ya comprometidos previamente por otras botnets como Emotet. Otros redes droppers son BazarLoader, Dridex, QakBot (QBot)

Microsoft utiliza la ley de marcas comerciales para interrumpir la botnet Trickbot


Microsoft Corp. ha ejecutado un ataque legal coordinado en un intento por interrumpir la botnet de malware como servicio Trickbot, una amenaza global que ha infectado millones de computadoras y se utiliza para propagar ransomware. Un tribunal de Virginia otorgó a Microsoft el control sobre muchos servidores de Internet que Trickbot utiliza para saquear los sistemas infectados, basándose en nuevas afirmaciones de que la máquina delictiva abusó de las marcas comerciales del gigante del software. Sin embargo, parece que la operación no ha desactivado completamente la botnet.


"Interrumpimos Trickbot a través de una orden judicial que obtuvimos, así como una acción técnica que ejecutamos en asociación con proveedores de telecomunicaciones de todo el mundo", escribió Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente en Microsoft, en una publicación de blog sobre el maniobra legal. "Ahora hemos cortado la infraestructura clave para que aquellos que operan Trickbot ya no puedan iniciar nuevas infecciones o activar ransomware que ya se encuentran en los sistemas informáticos".


La acción de Microsoft se produce pocos días después de que el Comando Cibernético del ejército de los EE. UU. Llevara a cabo su propio ataque que envió a todos los sistemas Trickbot infectados un comando que les decía que se desconectaran de los servidores de Internet que los señores de Trickbot usaban para controlarlos. La operación de aproximadamente 10 días de Cyber ​​Command también introdujo millones de registros falsos sobre nuevas víctimas en la base de datos de Trickbot en un intento por confundir a los operadores de la botnet.

En presentaciones legales, Microsoft argumentó que Trickbot daña irreparablemente a la empresa “al dañar su reputación, marcas y buena voluntad de los clientes. Los demandados alteran físicamente y corrompen productos de Microsoft, como los productos de Microsoft Windows. Una vez infectado, alterado y controlado por Trickbot, el sistema operativo de Windows deja de funcionar normalmente y se convierte en herramientas para que los Demandados lleven a cabo su robo ".


    “Sin embargo, todavía llevan las marcas comerciales de Microsoft y Windows. Obviamente, esto tiene la intención de engañar a los clientes de Microsoft, y causa un daño extremo a las marcas y marcas comerciales de Microsoft ".

    “Los usuarios sujetos a los efectos negativos de estas aplicaciones maliciosas creen incorrectamente que Microsoft y Windows son la fuente de los problemas de sus dispositivos informáticos. Existe un gran riesgo de que los usuarios puedan atribuir este problema a Microsoft y asociar estos problemas con los productos de Windows de Microsoft, diluyendo y empañando así el valor de las marcas y marcas comerciales de Microsoft y Windows ".

Microsoft dijo que aprovechará los servidores de Trickbot incautados para identificar y ayudar a los usuarios de Windows afectados por el malware Trickbot a limpiar el malware de sus sistemas.

Trickbot se ha utilizado para robar contraseñas de millones de computadoras infectadas y, según se informa, para secuestrar el acceso a más de 250 millones de cuentas de correo electrónico desde las que se envían nuevas copias del malware a los contactos de la víctima.

La función de malware como servicio de Trickbot lo ha convertido en un vehículo confiable para implementar varias cepas de ransomware, bloqueando sistemas infectados en una red corporativa a menos que y hasta que la compañía acepte realizar un pago de extorsión.

Una cepa de ransomware particularmente destructiva que está estrechamente asociada con Trickbot, conocida como "Ryuk" o "Conti", ha sido responsable de costosos ataques a innumerables organizaciones durante el año pasado, incluidos proveedores de atención médica, centros de investigación médica y hospitales.

Una víctima reciente de Ryuk es Universal Health Services (UHS), un hospital y proveedor de servicios de salud de Fortune 500 que opera más de 400 instalaciones en los EE. UU. Y el Reino Unido.


Microsoft dijo que no esperaba que su acción interrumpiera permanentemente a Trickbot, y señaló que los delincuentes detrás de la botnet probablemente harán esfuerzos para reactivar sus operaciones. Pero hasta ahora no está claro si Microsoft logró apoderarse de todos los servidores de control de Trickbot, o cuándo ocurrió exactamente la incautación coordinada de esos servidores.

Como señaló la compañía en sus presentaciones legales, el conjunto de direcciones de Internet utilizadas como controladores de Trickbot es dinámico, lo que hace que los intentos de deshabilitar la botnet sean más desafiantes.

De hecho, de acuerdo con la información en tiempo real publicada por Feodo Tracker, un sitio de seguridad suizo que rastrea los servidores de Internet utilizados como controladores para Trickbot y otras botnets, casi dos docenas de servidores de control de Trickbot, algunos de los cuales se activaron por primera vez a principios de este mes, son aún en vivo y respondiendo a las solicitudes en el momento de esta publicación.


Trickbot controla los servidores que están actualmente en línea. Fuente: Feodotracker.abuse.ch

La firma de inteligencia cibernética Intel 471 dice que derribar completamente a Trickbot requeriría un nivel de colaboración sin precedentes entre las partes y los países que probablemente no cooperarían de todos modos. Eso se debe en parte a que el mecanismo principal de comando y control de Trickbot admite la comunicación a través de The Onion Router (TOR), un servicio de anonimato distribuido que está completamente separado de Internet normal.

"Como resultado, es muy probable que un desmontaje de la infraestructura de Trickbot tenga un impacto de mediano a largo plazo en el funcionamiento de Trickbot", escribió Intel 471 en un análisis de la acción de Microsoft.

Es más, Trickbot tiene un método de comunicaciones de respaldo que utiliza un sistema de nombres de dominio descentralizado llamado EmerDNS, que permite a las personas crear y usar dominios que ninguna autoridad puede alterar, revocar o suspender. La popular tienda de delitos informáticos Joker's Stash, que vende millones de tarjetas de crédito robadas, también utiliza esta configuración.

Del informe Intel 471 [enlaces maliciosos y dirección IP eliminados con corchetes]:

    “En el caso de que se elimine toda la infraestructura de Trickbot, los ciberdelincuentes detrás de Trickbot deberán reconstruir sus servidores y cambiar su dominio EmerDNS para apuntar a sus nuevos servidores. Los sistemas comprometidos deberían poder conectarse a la nueva infraestructura de Trickbot. Safetrust [.] Bazar de dominio alternativo EmerDNS de Trickbot se resolvió recientemente en la dirección IP 195.123.237 [.] 156. No es coincidencia que este vecindario de red también aloje servidores de control de malware Bazar ".

    “Los investigadores anteriormente atribuían el desarrollo de la familia de malware Bazar al mismo grupo detrás de Trickbot, debido a las similitudes de código con la familia de malware Anchor y sus métodos de operación, como la infraestructura compartida entre Anchor y Bazar. El 12 de octubre de 2020, el dominio alternativo se resolvió en la dirección IP 23.92.93 [.] 233, que fue confirmada por los sistemas Intel 471 Malware Intelligence como una URL de controlador de Trickbot en mayo de 2019. Esto sugiere el dominio alternativo. todavía está controlado por los operadores de Trickbot en el momento de este informe ".

Intel 471 concluyó que la acción de Microsoft hasta ahora ha hecho poco para interrumpir la actividad de la botnet.

"En el momento de este informe, Intel 471 no ha visto ningún impacto significativo en la infraestructura y capacidad de Trickbot para comunicarse con los sistemas infectados por Trickbot", escribió la compañía.


Las presentaciones legales de Microsoft están disponibles aquí

 

La botnet TrickBot sobrevive a un intento de eliminación, pero Microsoft establece un nuevo precedente legal


Los servidores de comando y control (C&C) de TrickBot y los dominios incautados ayer han sido reemplazados por una nueva infraestructura.

Fuentes de compañías que monitorean la actividad de TrickBot describieron los efectos de la eliminación como "temporales" y "limitados", pero elogiaron a Microsoft y sus socios por el esfuerzo, independientemente de sus resultados actuales.


En un boletín de inteligencia de amenazas con distribución restringida, la empresa de seguridad Intel471 señaló que TrickBot comenzó a mover servidores C&C al sistema de nombres de dominio descentralizado EmerDNS como una forma de contrarrestar el intento de eliminación en curso. El martes por la mañana, la infraestructura de la botnet se había recuperado, aunque no estaba tan activa como en días anteriores.

TrickBot es una de las 3 operaciones de Malware-as-a-Service (MaaS) más exitosas de la actualidad en el inframundo del ciberdelito. La botnet utiliza campañas de correo no deseado para infectar computadoras, descarga su malware y luego roba datos de hosts infectados que luego revende con fines de lucro. Pero la botnet también alquila el acceso a las computadoras infectadas a otros grupos delictivos, lo que también representa una parte importante de sus ganancias. Estos "clientes" incluyen operadores de troyanos robadores de información, grupos de fraude BEC, bandas de ransomware e incluso grupos de piratería de estados nacionales.


¿Qué es un dropper? Distribuir malware

Un dropper es un tipo de malware que se caracteriza por contener un archivo ejecutable, como puede ser un .exe, .msi, .docm, etc. En ocasiones, únicamente está compuesto por un código inofensivo a simple vista que se activará cuando reciba la orden para descargar el malware que se encargará de infectar la máquina.

El principal propósito de los droppers es instalar otro malware en el equipo aprovechándose de las vulnerabilidades que pueda tener ese equipo, como por ejemplo, que se encuentre desactualizado o que use software que no ha sido parcheado. Los dropper también pueden llegar a realizar modificaciones en la configuración del equipo necesarias para instalar el malware que pasan desapercibidas para el software de protección.

Un dropper pueden ocultarse bajo un archivo comprimido aparentando ser un archivo inofensivo, como una imagen o un documento pdf. También puede suceder que se descargue en la máquina al visitar una página web infectada previamente, inyectando código malicioso.

Una vez se ejecuta el dropper en el equipo de la víctima, este se realizará en segundo plano y sin que el usuario se dé cuenta de todas las acciones maliciosas para las que esté diseñado. Una vez ha finalizado, se desinstala automáticamente eliminando cualquier rastro que haya podido dejar durante su ejecución en el equipo infectado.

 

Fuentes:

https://krebsonsecurity.com/2020/10/microsoft-uses-copyright-law-to-disrupt-trickbot-botnet/

https://www.zdnet.com/article/trickbot-botnet-survives-takedown-attempt-but-microsoft-sets-new-legal-precedent/

https://www.incibe.es/protege-tu-empresa/blog/dropper-amenaza-silenciosa 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.