Джон П. Мелло младший
13 октября 2020 г., 4:17 утра по тихоокеанскому времени
Интернет-сеть вне закона, которая использовалась для заражения миллионов компьютеров программами-вымогателями, была разрушена Microsoft.
В понедельник компания объявила, что вместе с поставщиками телекоммуникационных услуг по всему миру она смогла отключить инфраструктуру, используемую ботнетом Trickbot, чтобы ее больше нельзя было использовать для инициации новых заражений или активации программ-вымогателей, уже установленных в компьютерных системах.
Корпоративный вице-президент Microsoft по безопасности и доверию клиентов Том Берт отметил в блоге компании, что правительство США и независимые эксперты предупредили, что программы-вымогатели представляют собой одну из самых серьезных угроз предстоящим выборам.
«Злоумышленники могут использовать программы-вымогатели, чтобы заразить компьютерную систему, используемую для ведения списков избирателей или составления отчетов о результатах голосования в ночь на выборы, захватив эти системы в установленный час, оптимизированный для того, чтобы сеять хаос и недоверие», — писал Берт.
«Помимо защиты избирательной инфраструктуры от атак программ-вымогателей, — добавил он, — сегодняшние действия защитят широкий круг организаций, включая финансовые учреждения, государственные учреждения, медицинские учреждения, предприятия и университеты, от различных вредоносных программ, которые использует Trickbot. "
Содержание статьи
Потенциальная и реальная угроза
Удаление ботнета Trickbot немедленно и резко снижает продолжающийся ущерб, причиняемый вредоносной сетью, — заметил Мэтт Эшберн, руководитель стратегических инициатив Authentic8, создатель облака веб-браузер на основе
Бывший агент ЦРУ и директор по информационной безопасности Совета национальной безопасности сказал TechNewsWorld: «Если разрешить продолжить, этот ботнет мог бы косвенно повлиять на текущие и предстоящие выборы, скомпрометировав или разрушив системы, используемые для регистрации избирателей, координации выборов и других вспомогательных систем. на него полагаются правительства штатов и местные органы власти ».
Хотя у Trickbot есть потенциал сорвать выборы в США, реальная угроза может быть менее серьезной, чем она утверждается. «Мы не видели, чтобы Trickbot каким-либо образом мог угрожать выборам в США», — сказал TechNewsWorld Жан-Ян Бутин, руководитель отдела исследования угроз компании Eset, занимающейся безопасностью информационных технологий
.
«Хотя мы не наблюдаем какой-либо мотивации этих злоумышленников идти после выборов, потенциал действительно существует из-за размера ботнета», — добавил Викрам Такур, технический директор Symantec, подразделения Broadcom.
«Угроза исходит от того, что Trickbot распространяет программы-вымогатели на компьютеры, которые могут быть связаны с выборами», — сказал он TechNewsWorld.
Вредоносное ПО как услуга
Берт из Microsoft отметил, что с 2016 года Trickbot заразил более миллиона компьютеров. «Хотя точные имена операторов неизвестны, исследования показывают, что они обслуживают как национальные государства, так и преступные сети для различных целей ", — добавил он.
«Что делает его настолько опасным, так это то, что он имеет модульные возможности, которые постоянно развиваются, заражая жертв для целей операторов через модель« вредоносное ПО как услуга »», — пояснил он.
«Его операторы могли предоставить своим клиентам доступ к зараженным машинам и предложить им механизм доставки для многих форм вредоносных программ, включая программы-вымогатели», — продолжил он.
Берт также писал, что помимо заражения компьютеров конечных пользователей, Trickbot также заразил ряд устройств Интернета вещей, таких как маршрутизаторы, что расширило сферу действия Trickbot на домашние хозяйства и организации.
Вредоносное ПО как услуга может быть благом для менее опытных хакеров, — утверждает Джек Маннино, генеральный директор nVisium, поставщика безопасности приложений. «Это снижает сложность обслуживания инфраструктуры программ-вымогателей и проведения атак, выравнивая правила игры для менее опытных противников», — сказал он TechNewsWorld.
Остин Мерритт, аналитик по киберугрозам из компании Digital Shadows, поставщика решений для защиты от цифровых рисков, добавил, что программа-вымогатель как услуга (RaaS) дает злоумышленникам все преимущества регулярных атак программ-вымогателей без необходимости писать свои код.
«По сути, — сказал он TechNewsWorld, — это снижает барьер входа для киберпреступников в среду вымогателей».
Это также приносит деньги своим авторам. «Вы продаете услуги по подписке, как и любой другой поставщик SaaS, и зарабатываете на этом деньги», — заметила Карен Уолш, директор Allegro Solutions, маркетинговой компании по кибербезопасности.
«Это низкий объем капитала при высоком доходе», — сказала она TechNewsWorld. «В 2018 году киберпреступность как услуга принесла 1,6 миллиарда долларов США».
Ботнет, обособленный
Другие ботнеты спроектированы аналогично Trickbot, но они не так нацелены, — отметил Джон Хаммонд, старший исследователь безопасности в Huntress Labs, отделе обнаружения угроз и разведки. компания
«Он распространяется с помощью злонамеренных спамерских кампаний с очень сложной торговой маркой, чтобы выдавать себя за доверенных третьих лиц, таких как Microsoft и другие официальные источники», — сказал он TechNewsWorld.
Он добавил, что он устанавливает постоянство на локальной машине, чтобы злоумышленники могли сохранить доступ и продолжить свои операции. «Это дает злоумышленникам возможность гибкости через канал управления и контроля для развертывания программ-вымогателей или дальнейшего разрушения», — пояснил Хаммонд.
Его модульная конструкция также способствует его гибкости, позволяя обновлять себя и добавлять функции удаленно. «Эта возможность — одна из причин, по которой она так популярна среди киберпреступников, — сказал Мерритт из Digital Shadows. «Его можно настраивать и развивать, чтобы сделать его более эффективным и прибыльным».
Повышение морального духа защитников
Берт отметил, что Microsoft предприняла новый юридический прием, чтобы закрыть Trickbot.
«Наше дело включает иски о нарушении авторских прав против злонамеренного использования Trickbot нашего программного кода», — написал он. «Этот подход является важным шагом в наших усилиях по предотвращению распространения вредоносных программ, позволяя нам принимать гражданские меры для защиты клиентов в большом количестве стран по всему миру, в которых действуют эти законы».
Марк Кедгли, технический директор New Net Technologies, поставщика программного обеспечения для ИТ-безопасности и соблюдения нормативных требований, высоко оценил стратегию Microsoft. «Новая тактика использования закона об авторском праве для преследования злоумышленников — это творческий способ получить юридическую поддержку для борьбы с Botnet Wrangler», — сказал он.
«Приятно видеть, что до сих пор он, похоже, был эффективным в отключении большей части сети управления и контроля», — сказал он TechNewsWorld.
Мерритт добавил, что эта стратегия может быть эффективным способом предотвращения распространения вредоносных программ, особенно с помощью правоохранительных органов. «Гражданский иск может защитить клиентов во многих странах мира, где действуют законы об авторском праве», — утверждал он
.
Однако он добавил: «Невозможно узнать, как TrickBot может отреагировать на такой подход. У операторов TrickBot есть резервные механизмы, которые позволяют им поддерживать ботнет и восстанавливать потерянные компьютеры, зараженные Trickbot».
Независимо от этого. того, как банда Trickbot реагирует на действия Microsoft, поднимет моральный дух среди измученных защитников корпоративных систем.
«Недавнее распространение программ-вымогателей привело к тому, что защитники изо всех сил стараются не отставать и задаются вопросом, как можно остановить этих операторов», — заметила Кэти Никелс, директор по разведке Red Canary, поставщика облачных услуг безопасности.
«Защитникам, которые борются с операторами программ-вымогателей каждый день, — сказала она TechNewsWorld, — приятно видеть действия, которые потенциально могут отпугнуть некоторых из этих операторов».