A través de una orden judicial, Microsoft aplica medidas técnicas en colaboración con proveedores de telecomunicaciones de todo el mundo para interrumpir las operaciones de un botnet llamado Trickbot.
Se logró identificar que parte de la infraestructura criminal estaba ubicada en Argentina, Brasil, Colombia, Ecuador, Paraguay y Uruguay.
Trickbot es uno de los botnets y distribuidores prolíficos de ransomware y ha impactado a 1 millón de víctimas en todo el mundo.
Como respuesta a la preocupación del gobierno de Estados Unidos y los expertos independientes por la gran amenaza que representa el ransomware en las próximas elecciones; a través de una orden judicial, Microsoft aplica medidas técnicas en colaboración con proveedores de telecomunicaciones de todo el mundo para interrumpir las operaciones de un botnet llamado Trickbot, uno de los botnets y distribuidores prolíficos de ransomware más conocidos y que ha impactado 1 millón de víctimas en todo el mundo desde finales de 2016. La compañía ha aislado la infraestructura principal, de modo que los operadores de Trickbot no podrán iniciar infecciones nuevas ni activar el ransomware que ya se encuentra instalado en los sistemas de cómputo.
Los adversarios pueden utilizar el ransomware para infectar los sistemas de cómputo que se utilizan para mantener los padrones electorales o reportar los resultados la noche de las elecciones, y apoderarse de esos sistemas a una hora determinada para sembrar caos y desconfianza. Además de proteger la infraestructura de las elecciones contra los ataques de ransomware, las medidas implementadas por Microsoft el día de hoy, protegerán a una amplia variedad de organizaciones, tales como instituciones de servicios financieros, agencias gubernamentales, centros de salud, empresas y universidades, contra las diferentes infecciones de malware provocadas por Trickbot.
El Trickbot botnet
Microsoft y sus socios (ISPs y CERTs locales) pudieron identificar que parte de la infraestructura criminal estaba ubicada en Argentina, Brasil, Colombia, Ecuador, Paraguay Uruguay afectando los dispositivos de IoT en toda la región. Aunque se desconoce la identidad exacta de los operadores, las investigaciones sugieren que trabajan para las redes de los Estados Nación y otras redes delictivas para una variedad de objetivos.
A lo largo de la investigación de Trickbot, se analizaron unas 61,000 muestras de este malware. Se descubrió que su alta peligrosidad se debe a que posee capacidades modulares que evolucionan constantemente, las cuales infectan a las víctimas para los propósitos de los operadores a través de un modelo de “malware como servicio”. Los operadores pueden proporcionar a sus clientes acceso a las máquinas infectadas y ofrecerles un mecanismo de distribución para muchas formas de malware, incluyendo el ransomware. Trickbot no sólo ha infectado las computadoras de los usuarios finales, sino también varios dispositivos del “Internet de las Cosas”, tales como enrutadores, con lo cual ha logrado introducirse en los hogares y las organizaciones.
Además de mantener capacidades modulares para diferentes fines, los operadores se han vuelto expertos en modificar las técnicas de acuerdo con los desarrollos sociales. Las campañas de spear phishing y correo no deseado de Trickbot para distribuir malware han incluido temas como Black Lives Matter y COVID-19, que incitan a las personas a abrir enlaces o archivos dañinos. Con base en los datos obtenidos a través de Microsoft Office 365 Advanced Threat Detection, se detectó que Trickbot ha sido la operación de malware más prolífica en el uso de señuelos relacionados con el tema del COVID-19.
Componentes de interrupción y nueva estrategia legal
Las acciones de este día se llevaron a cabo después de que el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia aceptara la solicitud de emitir una orden judicial para detener las operaciones de Trickbot.
Durante la investigación que respalda el caso, se identificaron detalles de la operación, incluyendo la infraestructura que Trickbot utilizó para comunicarse con las víctimas y tomar el control de sus computadoras, la manera en que las computadoras se comunican entre sí, y los mecanismos que emplea Trickbot para evitar la detección y los intentos de interrupción a sus operaciones. Debido a que se observó que las computadoras infectadas se conectan y reciben instrucciones de servidores de comando y control, se pudo identificar las direcciones de IP exactas de esos servidores. Con esas pruebas, el tribunal dio autorización a Microsoft y sus socios para deshabilitar las direcciones de IP, imposibilitar el acceso al contenido almacenado en los servidores de comando y control, suspender todos los servicios a los operadores del botnet, e impedir cualquier intento de compra o alquiler de servidores por parte de los operadores de Trickbot.
Para llevar a cabo estas acciones, Microsoft formó un grupo internacional de proveedores de telecomunicaciones y de la industria. La Unidad de Delitos Digitales (DCU, por sus siglas en inglés), dirigió los esfuerzos de investigación, incluyendo detección, análisis, telemetría e ingeniera inversa, y, para fortalecer su caso legal, empleó los datos y conocimientos adicionales del equipo de Microsoft Defender y de una red global de socios integrada por FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT y Symantec, una división de Broadcom. Las acciones para ayudar a las víctimas contarán con el apoyo de los ISP (proveedores de servicios de Internet) y los CERT (Equipos de respuesta ante emergencias informáticas) de todo el mundo.
Estas acciones también representan una nueva estrategia legal que el DCU de Microsoft está utilizando por primera vez. El caso incluye demandas de derecho de autor contra el uso malicioso de código de software propiedad de la compañía por parte de Trickbot. Esta estrategia es un desarrollo importante en los esfuerzos de detener la propagación de malware y permite iniciar una acción civil para proteger a los clientes en la gran cantidad de países donde se aplican este tipo de leyes.
“Anticipamos completamente que los operadores de Trickbot harán esfuerzos para reactivar sus operaciones, y trabajaremos con nuestros socios para monitorear sus actividades y tomar medidas legales y técnicas adicionales para detenerlos,” dijo Tom Burt, Corporate Vice President, Customer Security & Trust.
Impacto en otros sectores
Además de amenazar las elecciones, Trickbot es conocido por utilizar malware para atacar los sitios web bancarios y robarle dinero a las personas y a las instituciones financieras. Instituciones financieras, que abarcan desde bancos globales y procesadores de pago hasta cooperativas de ahorro y crédito regionales, han sido víctimas de Trickbot. Por tal motivo, el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC, por sus siglas en inglés) ha sido un socio y codemandante fundamental en las acciones legales que ha emprendido Microsoft.
Cuando alguien utiliza una computadora infectada con Trickbot para ingresar al sitio web de una institución bancaria, el botnet realiza una serie de actividades para secuestrar de manera secreta el navegador web del usuario, robar las credenciales de inicio de sesión de banca en línea de la persona y otra información confidencial, y enviar esos datos a los operadores de las redes delictivas. Las personas no se percatan de las actividades de Trickbot porque está diseñado para ocultarse. Después de que el botnet roba las credenciales de inicio de sesión y la información personal, los operadores utilizan esa información para acceder a las cuentas bancarias de las víctimas. Los usuarios realizan un inicio de sesión normal, sin advertir que se les está vigilando y robando.
Trickbot también es conocido por distribuir el ransomware de cifrado Ryuk, que se ha utilizado en ataques contra una amplia variedad de instituciones públicas y privadas. El ransomware puede tener efectos devastadores, hace poco, paralizó la red de TI de un hospital alemán, lo que provocó la muerte de una mujer que requería atención de emergencia. Ryuk es un sofisticado ransomware de cifrado que identifica y cifra los archivos en una red y desactiva Windows System Restore para impedir que las personas sin respaldos externos se recuperen del ataque. Ryuk dirige sus ataques a diferentes tipos de organizaciones, tales como gobiernos municipales, tribunales estatales, hospitales, asilos de ancianos, empresas y universidades grandes. Por ejemplo, Ryuk fue responsable de los ataques a un contratista del Departamento de Defensa de Estados Unidos, a la ciudad de Durham en Carolina del Norte, a un proveedor de TI de 110 asilos de ancianos, y a varios hospitales durante la pandemia del COVID-19.
Seguridad electoral y protección contra malware
Tal como compartió Microsoft el mes pasado a través de su Digital Defense Report (Informe de defensa digital), los ataques de ransomware están aumentando. Para las organizaciones que trabajan en las elecciones y desean protegerse contra el ransomware y otras amenazas está AccountGuard, un servicio gratuito de notificación de amenazas que actualmente protege más de dos millones de cuentas de correo electrónico en todo el mundo. A través de AccountGuard, se han enviado hasta la fecha más de 1,500 notificaciones de ataques a los Estados Nación a los suscriptores de AccountGuard. También existe Microsoft 365 para Campañas, una versión fácil de configurar de Microsoft 365 que incorpora ajustes predeterminados inteligentes y seguros a un precio accesible. Por último, Election Security Advisors (Asesores en seguridad electoral) ofrece servicios de resiliencia proactiva y de respuesta inmediata ante incidentes a los organizadores de campañas y funcionarios electorales, también a un precio accesible.
La Unidad de Delitos Digitales continuará participando en las operaciones para proteger tanto a las organizaciones involucradas en el proceso democrático como a toda la base de clientes de la compañía. Desde el 2010, Microsoft, a través de la de Unidad de Delitos Digitales, ha colaborado con agencias policiacas y otros socios en 23 interrupciones de malware y dominios de los Estados Nación, lo que permitió rescatar más de 500 millones de dispositivos de manos de los delincuentes cibernéticos. En esta acción civil, se ha empleado una nueva estrategia legal que permite aplicar la ley de derechos de autor para evitar que la infraestructura de Microsoft, en este caso su código de software se utilice para cometer delitos. Debido a que la ley de derechos de autor es más común que la ley de delitos informáticos, esta nueva estrategia es de gran ayuda para proceder penalmente contra los delincuentes en más jurisdicciones del mundo.