Microsoft cùng các công ty công nghệ liên kết triệt hạ TrickBot Botnet


Vài ngày sau khi Chính phủ Hoa Kỳ khởi động kế hoạch đánh sập mạng botnet TrickBot khét tiếng, một nhóm các công ty công nghệ và công ty an ninh mạng đã liên kết với nhau tạo nên một chiến dịch nhằm đánh sập cơ sở hạ tầng back-end của mã độc này.



Liên minh công nghệ này bao gồm Đơn vị tội phạm kỹ thuật số của Microsoft, Phòng thí nghiệm Black Lotus của Lumen, công ty an ninh mạng ESET, Trung tâm phân tích và chia sẻ thông tin dịch vụ tài chính ( FS-ISAC ), NTT , và Symantec của Broadcom. Chiến dịch này đã được khởi động sau khi yêu cầu đánh sập hoạt động TrickBot được chấp thuận bởi Tòa án Liên bang Đông Virginia.



Kế hoạch này bắt nguồn sau khi Bộ Tư lệnh không gian mạng Hoa Kỳ phát động chiến dịch nhằm ngăn chặn sự lây lan của TrickBot do lo ngại về các cuộc tấn công ransomware nhắm vào hệ thống bỏ phiếu trước thềm diễn ra cuộc bầu cử tổng thống vào tháng tới. Những nỗ lực triệt phá mạng botnet này đã được đưa tin đầu tiên bởi trang KrebsOnSecurity vào đầu tháng này.



Được biết Microsoft và các đối tác đã phân tích hơn 186.000 mẫu TrickBot. Từ đó, họ đã tìm ra được cơ sở hạ tầng C2 mà mã độc dùng để giao tiếp với máy nạn nhân, và xác định địa chỉ IP của máy chủ C2, cũng như tìm ra các kỹ thuật TTPs khác mà kẻ tấn công áp dụng nhằm tránh bị phát hiện.



“Với bằng chứng trên, tòa án đã cho cho phép Microsoft và các đối tác vô hiệu hóa địa chỉ IP, khiến các nội dung lưu trữ trên các máy chủ C2 không thể truy cập, và cho ngừng tất cả các dịch vụ của những kẻ đứng sau mạng bonet, cũng như chặn mọi nỗ lực mua bán hoặc cho thuê thêm máy chủ của những kẻ này,” Microsoft cho biết.



TrickBot xuất hiện lần đầu vào cuối năm 2016 dưới dạng một trojan ngân hàng và đã phát triển thành một “con dao Thụy Sĩ đa năng”. Nó có khả năng đánh cắp thông tin nhạy cảm, và thậm chí thả ransomware cùng các bộ công cụ sau khai thác trên các thiết bị nạn nhân, bên cạnh việc thêm các thiết bị này vào mạng botnet độc hại của mình.



“Qua nhiều năm những kẻ đứng sau TrickBot đã từng bước xây dựng nên một mạng botnet lớn. Hiện tại, nó đã phát triển thành một modular malware hoạt động theo mô hình kinh doanh malware-as-a-service,” Microsoft cho biết.



“Cơ sở hạ tầng TrickBot cung cấp quyền truy cập cho tội phạm mạng. Những kẻ này sau đó sẽ sử dụng botnet như một điểm xâm nhập ban đầu cho các chiến dịch của chúng, bao gồm các cuộc tấn công đánh cắp thông tin đăng nhập, lấy cắp dữ liệu và triển khai các payload bổ sung. Đáng chú ý nhất trong số đó là băng đảng ransomware Ryuk.”



Mã độc thường được phân phối thông qua các chiến dịch lừa đảo phishing bằng cách lợi dụng các sự kiện đang được quan tâm hay các chiêu trò liên quan đến tài chính để dụ nạn nhân mở các file đính kèm độc hại hoặc click vào đường link dẫn đến các trang web có chứa mã độc. Ngoài ra, TrickBot cũng được triển khai như một payload giai đoạn hai của một mạng botnet khét tiếng khác có tên là Emotet .



Tính đến thời điểm hiện tại, hoạt động của mạng botnet này đã làm lây nhiễm hơn một triệu máy tính.



Tuy nhiên, Microsoft cảnh báo rằng họ không mong đợi cuộc công phá này sẽ làm gián đoạn TrickBot vĩnh viễn, vì những tội phạm mạng đứng sau mạng botnet chắc hẳn sẽ tìm mọi cách để hồi sinh hoạt động của chúng.



Theo trang Feodo Tracker có trụ sở tại Thụy Sĩ, một số máy chủ trong số tám máy chủ kiểm soát của TrickBot đã xuất hiện trở lại vào tuần trước, vẫn online sau khi bị triệt hạ.



Theo The Hacker News
The post Microsoft cùng các công ty công nghệ liên kết triệt hạ TrickBot Botnet appeared first on SecurityDaily .

Top News