Microsoft ogłosił sukces w walce z botnetem TrickBot, który swego czas dał się we znaki osobom korzystającym z pakietu Office 365. Jednak sukces nie jest pełen.
Trickbot został po raz pierwszy wykryty w 2016 roku. Zaczął swoją "karierę" jako trojan bankowy, a potem wyewoluował w bardziej zaawansowany instalator szkodników malware. Od momentu wykrycia zarejestrowano kilka milionów zainfekowanych nim maszyn na całym świecie. Był udostępniany w modelu Malware-as-a-Service, czyli MaaS. Microsoft pochwalił się jego poważnym uszkodzeniem. Potrzebne były do tego m.in. zezwolenia władz na zamknięcie infrastruktury będącej jego częścią. Zespół MS współpracował przy tej sprawie z innymi organizacjami wyspecjalizowanymi w cyberbezpieczeństwie - są wśród nich m.in. Lumen’s Black Lotus Labs, ESET, Symantec oraz NTT.
Osoby stojące za botnetem to najprawdopodobniej grupa rosyjskich cyberprzestępców - powiązane z nimi adresy IP zostały zablokowane, a dostawcy sieci otrzymali stosowane informacje na temat nielegalnych działań, jakie odbywają się z ich wykorzystaniem. Jednak pierwszym ciosem było zablokowanie dostępu do serwerów kontrolujących ponad milion maszyn w botnecie. Umożliwiło to równocześnie odcięcie przestępców od 250 mln wykradzionych haseł e-mail, z których korzystano m.in. do logowania się do pakietu Office 365 oraz kampanii phishingowych. Hasła uzyskiwano, przesyłając na adresy e-mailowe użytkowników spreparowane wiadomości, w których podszywano pod adminów Microsoftu i polecano zmianę istniejących danych logowania.
Zobacz: InterPlanetary Storm - niezwykle groźny botnet atakuje
Tricbot jest botnetem zdecentralizowanym, więc nie da się go skutecznie wyłączyć. Niektóre adresy IP serwerów, za pomocą których działa, są maskowane poprzez sieć Tor, co praktycznie uniemożliwia ich wykrycie. Tak więc mocny cios został zadany - ale nie był on całkowicie niszczący.
Źródło zdjęć: luis gomes/Pexels. Microsoft
Źródło tekstu: TechSpot, Microsoft
