DAJ CYNK

Bitdefender wykrył nową wersję botneta TrickBot

Henryk Tur

Bezpieczeństwo

Dwa miesiące temu pisałem, że Microsoft uszkodził botnet TrickBot. Niestety, jak się okazało - było to chwilowe zwycięstwo.

Dalsza część tekstu pod wideo
 

W październiku grupa ekspertów od cyberbezpieczeństwa, w której znajdowali się specjaliści z takich firm, jak ESET, Microsoft, NTT, Black Lotus Labs, podjęła działania przeciwko TrickBotowi, stojącemu za wieloma atakami ransomware. W październiku ogłoszono zwycięstwo. Data ta odgrywała istotną rolę - istniały uzasadnione obawy, że niebezpieczny botnet będzie wykorzystany do zakłócenia procesu głosowania w wyborach prezydenckich w Stanach Zjednoczonych. Niestety, już niedługo później, w pierwszej połowie listopada, analitycy Bitdefendera wykryli nową próbkę TrickBota oznaczoną numerem 2000016. A ostatnia wersja, która pojawiła się przed opublikowaniem komunikatu o unieruchomieniu kluczowej infrastruktury botneta, była oznaczona symbolem 1000513.

Bitdefender porównuje działania Microsoftu oraz jego partnerów do strzelania przeciwnikowi w kolana, a w tym przypadku jedynym wyjściem jest zastosowanie strategii polegającej na ścinaniu głów Hydrze. Obecnie operatorzy botnetu wykorzystują jako infrastrukturę Commandand Control routery Mikrotik, zaś serwer backupu używa domeny EmerDNS. Specjaliści z Bitdefender dostrzegają wyraźne analogie z innym, znanym backdoorem o nazwie Bazar.  Nastąpiły też zmiany w konfiguracji pluginów na serwerze - zniknęła wtyczka Tor i pojawiły się nowe tagi, wszystko wskazuje na to, że są zakamuflowanie adresy IP. Ta technika została wcześniej zaimplementowana przez twórców trojana Bazar.

Zobacz: InterPlanetary Storm - niezwykle groźny botnet atakuje

Na podstawienie danych telemetrycznych wiemy, że nowa wersja TrickBota dotyczy Malezji, USA, Rumunii, Rosji i Malty. Choć botnet otrzymał poważny cios, jego operatorzy starają się go reanimować. Niewykluczone, że operacja się powiedzie, a botnet stanie się jeszcze bardziej odporny i trudniejszy do pokonania niż wcześniej. Szacuje się, że TrickBot od końca 2016 roku zainfekował oprogramowaniem ransomware już ponad milion urządzeń na całym świecie.

Zobacz: Botnet zaszkodził użytkownikom Office 365, Microsoft odpowiada uszkodzeniem botnetu

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Andrea Piacquadi/oPexels

Źródło tekstu: Bitdefender