Microsoft en beveiligingsbedrijven ESET, Black Lotus Labs en Symantec werkten samen met de financiële dienstverleningssector om de C2-infrastructuur van de ransomware-operatie af te sluiten.
Technologie- en beveiligingsbedrijven werken samen met de financiële dienstverlening en de telecommunicatie-industrie om de command-and-control (C2)-infrastructuur te ontwrichten die wordt gebruikt om de bekende Trickbot-ransomware te beheren en zo meer dan een miljoen computerapparaten te infecteren, zeiden de bedrijven achter de verwijdering. Maandag.
Microsoft werkte samen met beveiligingsonderzoekers van ESET, Lumen's Black Lotus Labs en Broadcom's Symantec om de belangrijkste componenten van Trickbot's C2 te identificeren en het vermogen van de ransomware om verbinding te maken met geïnfecteerde systemen te verbreken. De bedrijven werkten samen met het Financial Services Information Sharing and Analysis Committee (FS-ISAC) om een gerechtelijk bevel te verkrijgen dat telecommunicatiebedrijven toestond de servers waarop de operatie afhankelijk was, te sluiten.
De groep is van mening dat hun inspanningen de activiteiten van het botnet zullen hinderen en de pogingen om systemen opnieuw te infecteren veel moeilijker zullen maken, zegt Jean-Ian Boutin, hoofd dreigingsonderzoek bij beveiligingsbedrijf ESET.
“Door te proberen de normale werking van het Trickbot-botnet te verstoren, hopen we dat dit zal resulteren in een afname van het aanbod van potentiële ransomware-slachtoffers”, zegt hij. “Aangezien Trickbot een platform was voor cybercriminelen om hun volgende ransomware-doelwit te kiezen, hopen we door het onbeschikbaar te maken een afname van deze verwoestende aanvallen te zien.”
Trickbot is een modulair infectieplatform dat wordt verspreid via phishing en door andere infectors, zoals Emotet, te gebruiken om Trickbot te installeren. ESET heeft bijvoorbeeld 28 verschillende plug-inmodules voor het platform verzameld die onder meer inloggegevens verzamelen, netwerkverkeer wijzigen en zich naar andere systemen verspreiden.
Eenmaal op een systeem werd Trickbot vaak gebruikt als een banktrojan, waarbij de inloggegevens van slachtoffers werden gestolen en deze werden gebruikt om toegang te krijgen tot banken. De software maakt ook vaak gebruik van webinjects, een techniek waarmee de aanvaller kan bepalen wat een slachtoffer ziet terwijl hij zich op een bepaalde site bevindt. Een geïnfecteerd systeem geeft bijvoorbeeld mogelijk niet het werkelijke banksaldo van het slachtoffer weer, maar in plaats daarvan het saldo dat de aanvaller wil zien.
In maart verlegden de operators van Trickbot hun focus van aanvallen op financiële instellingen naar ransomware. De Ryuk-ransomware, die een aantal steden, zorginstellingen en scholen heeft geïnfecteerd, wordt vaak door Trickbot geïnstalleerd.
“De criminele bende achter Trickbot heeft zijn kwaadaardige software regelmatig bijgewerkt en modules met nieuwe functionaliteit toegevoegd om de effectiviteit en het potentieel om schade te veroorzaken te vergroten”, aldus onderzoekers van Black Lotus Labs, onderdeel van bedrijfstechnologiebedrijf Lumen, in hun analyse. “Ze hebben tools als Mimikatz en Cobalt Strike ingebouwd – vaak gebruikt door penetratietesters en criminele aanvallers – om netwerken van slachtoffers in kaart te brengen, inloggegevens van besturingssystemen te stelen en zich binnen organisaties te verspreiden.”
Microsoft en de FS-ISAC waren gedaagden in de civiele zaak tegen de Trickbot-operators. De softwaregigant maakte zich zorgen dat het platform zou kunnen worden gebruikt om verkiezingssites en -machines aan te vallen in de aanloop naar de Amerikaanse presidentsverkiezingen.
“Zoals de regering van de Verenigde Staten en onafhankelijke experts hebben gewaarschuwd, is ransomware een van de grootste bedreigingen voor de komende verkiezingen”, zegt Tom Burt, corporate vice president of customer security and trust bij Microsoft, zei in een blogpost. “Tegenstanders kunnen ransomware gebruiken om een computersysteem te infecteren dat wordt gebruikt om kiezerslijsten bij te houden of verslag uit te brengen over de verkiezingsresultaten, en deze systemen in beslag te nemen op een voorgeschreven uur dat is geoptimaliseerd om chaos en wantrouwen te zaaien.”
Microsoft analyseerde 61,000 voorbeelden van de Trickbot-malware. Andere bedrijven leenden hun analyses ook aan de inspanning. Het ransomwareplatform heeft op grote schaal gebruik gemaakt van phishing-aanvallen met een COVID-thema om gebruikers ervan te overtuigen op kwaadaardige links te klikken of malware te openen, aldus Microsoft.
De actie van maandag volgde nadat Microsoft en de FS-ISAC de Trickbot-operators hadden aangeklaagd bij de United States District Court voor het Eastern District van Virginia, die hun verzoek om een gerechtelijk bevel inwilligde om de servers op specifieke IP-adressen die door het onderzoek van de bedrijven waren geïdentificeerd, te verwijderen.
“Deze actie vertegenwoordigt ook een nieuwe juridische aanpak die onze [Digital Crimes Unit] voor het eerst gebruikt”, aldus Microsoft in zijn blogpost. “Onze zaak omvat auteursrechtclaims tegen het kwaadwillige gebruik van onze softwarecode door Trickbot. Deze aanpak is een belangrijke ontwikkeling in onze inspanningen om de verspreiding van malware te stoppen, waardoor we civiele actie kunnen ondernemen om klanten te beschermen in het grote aantal landen over de hele wereld waar deze wetten van kracht zijn.”
Civiele rechtszaken zijn de focus geworden van de inspanningen van Microsoft om massale cybercriminele activiteiten een halt toe te roepen. Terwijl de deelnemers aan de laatste takedown hopen dat de criminelen achter het kwaadaardige programma vervolgd zullen worden, worden de daders vaak niet berecht.
Voor bedrijven zijn de beste stappen die ze kunnen nemen defensief, zegt Boutin van ESET, die publiceerde zijn eigen analyse van de aanval.
“De beste manier om uw organisatie te beschermen is om in de eerste plaats niet in gevaar te komen”, zegt hij. “Een typische infectievector voor malwarefamilies zoals Trickbot, waarvan bekend is dat ze ransomware verspreiden, zijn kwaadaardige e-mails. Naast de eindpuntbeveiliging is het een goede investering om de beveiliging van e-mailsystemen te verbeteren, zodat ze kwaadaardige e-mails kunnen detecteren voordat ze in de inbox van het doelwit terechtkomen.”
Microsoft verwacht volledig dat de Trickbot-operators een comeback zullen maken, zij het langzaam.
"We verwachten volledig dat de operators van Trickbot zich zullen inspannen om hun activiteiten nieuw leven in te blazen, en we zullen met onze partners samenwerken om hun activiteiten te monitoren en aanvullende juridische en technische stappen te ondernemen om ze te stoppen", aldus Microsoft.
Veteraan-technologiejournalist van meer dan 20 jaar. Voormalig onderzoeksingenieur. Geschreven voor meer dan twee dozijn publicaties, waaronder CNET News.com, Dark Reading, MIT's Technology Review, Popular Science en Wired News. Vijf prijzen voor journalistiek, waaronder Beste Deadline ... Bekijk volledige bio
Aanbevolen literatuur:
Meer inzichten
