Bitdefender wykrył nową wersję botneta TrickBot
Dwa miesiące temu pisałem, że Microsoft uszkodził botnet TrickBot. Niestety, jak się okazało - było to chwilowe zwycięstwo.
W październiku grupa ekspertów od cyberbezpieczeństwa, w której znajdowali się specjaliści z takich firm, jak ESET, Microsoft, NTT, Black Lotus Labs, podjęła działania przeciwko TrickBotowi, stojącemu za wieloma atakami ransomware. W październiku ogłoszono zwycięstwo. Data ta odgrywała istotną rolę - istniały uzasadnione obawy, że niebezpieczny botnet będzie wykorzystany do zakłócenia procesu głosowania w wyborach prezydenckich w Stanach Zjednoczonych. Niestety, już niedługo później, w pierwszej połowie listopada, analitycy Bitdefendera wykryli nową próbkę TrickBota oznaczoną numerem 2000016. A ostatnia wersja, która pojawiła się przed opublikowaniem komunikatu o unieruchomieniu kluczowej infrastruktury botneta, była oznaczona symbolem 1000513.
Bitdefender porównuje działania Microsoftu oraz jego partnerów do strzelania przeciwnikowi w kolana, a w tym przypadku jedynym wyjściem jest zastosowanie strategii polegającej na ścinaniu głów Hydrze. Obecnie operatorzy botnetu wykorzystują jako infrastrukturę Commandand Control routery Mikrotik, zaś serwer backupu używa domeny EmerDNS. Specjaliści z Bitdefender dostrzegają wyraźne analogie z innym, znanym backdoorem o nazwie Bazar. Nastąpiły też zmiany w konfiguracji pluginów na serwerze - zniknęła wtyczka Tor i pojawiły się nowe tagi
Na podstawienie danych telemetrycznych wiemy, że nowa wersja TrickBota dotyczy Malezji, USA, Rumunii, Rosji i Malty. Choć botnet otrzymał poważny cios, jego operatorzy starają się go reanimować. Niewykluczone, że operacja się powiedzie, a botnet stanie się jeszcze bardziej odporny i trudniejszy do pokonania niż wcześniej. Szacuje się, że TrickBot od końca 2016 roku zainfekował oprogramowaniem ransomware już ponad milion urządzeń na całym świecie.
