Pouco mais de uma semana atrás, A Microsoft anunciou que fez parceria com várias empresas de segurança cibernética e telecomunicações para interromper o botnet Trickbot como parte de uma ordem judicial dos EUA que obteve. A empresa afirmou que este botnet é bastante avançado e usa um modelo de malware como serviço para infectar máquinas de consumidores e dispositivos IoT com ransomware. Embora as identidades dos operadores do Trickbot sejam atualmente desconhecidas, a Microsoft afirmou que ele tem sido usado tanto para operações criminosas individuais quanto para objetivos de estado-nação, tornando-se ainda mais perigoso com as eleições presidenciais dos EUA se aproximando.
Hoje, a empresa forneceu mais detalhes sobre como interrompeu a rede do Trickbot e descreveu o que planeja fazer a seguir.
Em uma postagem de blog, A Microsoft afirmou que, a partir de 18 de outubro, eliminou 94% da infraestrutura operacional crítica do Trickbot desde que iniciou suas operações há poucos dias. Dos 69 principais servidores Trickbot identificados, 62 já foram removidos e os agentes mal-intencionados que operam esse botnet têm se esforçado para adicionar uma nova infraestrutura. A Microsoft afirmou que esses criminosos instalaram 59 novos servidores e que a empresa desativou todos eles, elevando a contagem de servidores eliminados para 120 em 128.
O gigante da tecnologia de Redmond notou que, como esta é uma operação ativa e um processo meticuloso, com ações tomadas também do lado oposto, espera que esses números mudem regularmente. No entanto, a empresa tem três lições principais de seu trabalho até agora.
Em primeiro lugar, desde que garantiu sua ordem judicial inicial permitindo a desativação da infraestrutura central do Trickbot há alguns dias, a Microsoft obteve várias outras ordens judiciais para garantir que outros componentes da infraestrutura sejam removidos também de maneira legal, e a empresa continuará fazendo isso até o dia da eleição em 3 de novembro. Ela também tem trabalhado com seus parceiros globais e provedores de hospedagem que compartilharam informações importantes sobre o botnet para descobrir novos servidores de comando e controle, bem como dispositivos IoT comprometidos. A empresa continuará trabalhando com os ISPs para garantir que os dispositivos comprometidos em residências e empresas sejam corrigidos para que não causem mais danos.
Em segundo lugar, a Microsoft notou que os indivíduos que operam o Trickbot têm se esforçado para configurar uma nova infraestrutura e colaborar com outros criminosos para implantar uma carga maliciosa e, embora esse movimento não seja tão perigoso quanto os recursos nativos do Trickbot, ainda é algo para manter a guarda contra. A empresa diz que o objetivo dessa operação sempre foi atrapalhar o botnet durante o pico da atividade eleitoral, então o fato de as operadoras terem desviado sua atenção para outro lugar é certamente positivo no que diz respeito ao sucesso da operação.
Por último, a Microsoft diz que sua Unidade de Crimes Digitais é bem versada e altamente treinada na infraestrutura do Trickbot e na identificação de atividades maliciosas, e continuará a interromper a operação do botnet nas próximas semanas. Ela estabeleceu contato direto com ISPs locais, empresas de telecomunicações e parceiros globais que monitoram e compartilham informações sobre as atividades da Trickbot 24 horas por dia, 7 dias por semana. A empresa diz:
Esperamos totalmente que os operadores do Trickbot continuem procurando maneiras de permanecer operacionais, e nós e nossos parceiros continuaremos a monitorá-los e a agir. Encorajamos outras pessoas da comunidade de segurança que acreditam na proteção das eleições a se juntarem ao esforço e compartilhar sua inteligência diretamente com provedores de hospedagem e ISPs que podem colocar a infraestrutura do Trickbot offline. À medida que este trabalho continua, será importante focar no impacto coletivo nas capacidades do Trickbot entre agora e a eleição, em vez de focar em instantâneos simplificados potencialmente enganosos de qualquer momento único.
A Microsoft também recomendou que as pessoas diretamente envolvidas nas eleições utilizem as ferramentas da empresa, como AccountGuard, Microsoft 365 para campanhas, e Conselheiros de segurança eleitoral para se proteger de ameaças semelhantes.
