Después de una intensa lucha contra la red zombi TrickBot, un grupo de expertos y organizaciones de seguridad lideradas por Microsoft parece haberle dado un golpe final con una orden judicial que le permite desmantelar sus redes de comando y control.
“Hemos alterado la infraestructura crítica para que aquellos que operan Trickbot ya no puedan realizar nuevas infecciones o activar el ransomware que se había instalado en los sistemas informáticos”, explicó Tom Burt, Vicepresidente Ejecutivo del departamento de Confianza y Seguridad del Consumidor de Microsoft.
Hace dos semanas, las operaciones de la red zombi se vieron truncadas de forma temporal y se cree que el Ciber Comando de los Estados Unidos fue parte del operativo. Esta vez, fue el equipo liderado por Microsoft el que logró darle un golpe más definitivo: “Alteramos Trickbot gracias a una orden judicial que conseguimos y a acciones técnicas que llevamos a cabo junto a empresas de telecomunicaciones de todo el mundo”, informó Burt. La orden la dio el Distrito Este de Virginia, permitiéndole a Microsoft que tome control de la red zombi, considerada la más grande del mundo.
Microsoft y su equipo llevan meses recolectando y analizando más de 125.000 ejemplares de TrickBot para comprender en profundidad su funcionamiento interno, incluyendo el de los servidores de comando y control que la red zombi utiliza para ponerse en contacto con los equipos infectados. Esta es la información que presentó ante el Distrito Este de Virginia. “Con esta evidencia, el tribunal dio su aprobación para que Microsoft y su equipo desactive las direcciones IP, suspenda todos los servicios de los operadores de la red zombi y bloquee cualquier intento de los operadores de TrickBot de comprar o alquilar servidores adicionales”, explicó Microsoft.
La red zombi había ganado notoriedad porque se la considera una amenaza para el proceso electoral de Estados Unidos: el gobierno estadounidense cree que los cibercriminales que la manejaban podían utilizarla para atacar los sistemas que albergaban padrones electorales o información clave sobre las elecciones.
El malware no podría cambiar los resultados electorales computados, pero sí perturbar y quitar credibilidad al proceso electoral, que ya se encuentra desvirtuado para muchos votantes por la incorporación del voto por correo a causa de la pandemia. “Aunque se reporte en sólo algunos recintos que hubo disturbios o se bloquearon los sistemas, o que la gente no puede votar o sus votos no pueden ser computados, sería echarle leña al fuego”, dijo Burt.
El éxito o fracaso de la operación del equipo de Microsoft no es inmediato: al principio de la semana, la red zombi seguía operando y la compañía Intel 471 encontró 19 servidores de comando y control de Trickbot activos. Sin embargo, todavía faltan 3 semanas para las elecciones presidenciales de Estados Unidos y en ese periodo se verá con mayor claridad los efectos de las acciones del equipo.
Fuentes
Microsoft and others orchestrate takedown of TrickBot botnet ZDNet
Microsoft seeks to disrupt Russian criminal botnet it fears could seek to sow confusion in the presidential election The Washington Post
Microsoft and partners cut off key Trickbot botnet infrastructure Help Net Security
Microsoft se prepara para dar un golpe mortal a la red zombi TrickBot