O Botnet do Trickbot está morto - ou está?

Shutterstock / WhataWin

Na corrida para a eleição de 2020 nos Estados Unidos, a Microsoft lançou uma ofensiva contra um prolífico botnet chamado Trickbot. Eles conseguiram matar a ameaça? Explicamos como funcionou.

Bots e botnets

Um bot é um computador que foi comprometido e infectado por malware. O malware executa alguma ação em benefício do agente da ameaça. Um botnet é uma rede de bots que funcionam em uníssono. Quanto mais bots houver no botnet, mais poder computacional ele terá. Ele forma uma poderosa plataforma de computação distribuída trabalhando em nome dos atores da ameaça.

Os botnets podem ser usados ​​para tarefas como mineração de criptomoedas, execução de ataques de negação de serviço distribuídos, atuação como farms de spam, para coletar credenciais de usuário em grande escala ou para coletar secretamente informações sobre indivíduos, redes e organizações.

O exército de bots que compõe a rede de bots é controlado a partir de um servidor de comando e controle, frequentemente referido como servidor C2. O servidor C2 aceita informações dos bots e responde enviando-lhes comandos a seguir. O servidor C2 também pode distribuir novas cargas maliciosas ou plug-ins que fornecem novas funcionalidades para o malware.

Trickbot

O Trickbot pode reivindicar o título do botnet mais famoso do mundo. Ele começou como um Trojan bancário em 2016, roubando credenciais de login para contas bancárias e outras plataformas de pagamento. Desde então, ele tem recebido desenvolvimento contínuo e evoluiu para uma sofisticada ferramenta de distribuição de malware que é alugada para outros criminosos cibernéticos e grupos de agentes de ameaças.

Ele infectou mais de um milhão de dispositivos de computação desde 2016, tornando-o um grande botnet e uma mercadoria poderosa para os cibercriminosos. Ele representa uma grande ameaça para as empresas porque tem sido usado como uma plataforma de distribuição de ransomware, como Ryuk e outras operações de ransomware de grande nome e em grande escala.

As infecções geralmente resultam de um funcionário cair em um e-mail fraudulento enviado a ele como parte de uma campanha de phishing por e-mail. O e-mail contém um anexo malicioso. Quando o usuário tenta abrir o anexo — muitas vezes mascarado como um arquivo PDF ou Word — ele baixa e instala o Trickbot.

Na verdade, o Trickbot é uma rede tão grande de máquinas comprometidas que um único servidor C2 é insuficiente. Por causa do número de bots e da quantidade de tráfego, e em parte porque eles queriam construir alguma redundância em sua infraestrutura, o grupo Trickbot estava usando 69 servidores C2 em todo o mundo.

Então, o que aconteceria se os agentes da ameaça Trickbot perdessem o acesso a todos os seus servidores C2?

Ofensiva da Microsoft contra o Trickbot

Em outubro de 2020, a Microsoft e parceiros selecionados e empresas de hospedagem começaram a trabalhar juntos para identificar e eliminar os servidores C2 do Trickbot.

A análise inicial da Microsoft identificou 69 servidores C2 centrais que eram cruciais para as operações do Trickbot. Eles incapacitaram 62 deles imediatamente. Os outros sete não eram servidores Trickbot dedicados, eles eram dispositivos da Internet das Coisas (IoT) infectados pertencentes a vítimas inocentes.

Os dispositivos IoT foram sequestrados pelo Trickbot. Impedir que esses dispositivos se comportassem como servidores C2 exigia um pouco mais de sutileza do que foi usado para impedir que os outros servidores C2 tivessem uma base de hospedagem. Eles tiveram que ser desinfetados e devolvidos ao funcionamento normal, em vez de apenas pararem de repente.

Como era de se esperar, a gangue do Trickbot lutou para lançar os servidores substitutos e colocá-los em operação. Eles criaram 59 novos servidores. Eles foram rapidamente visados ​​pela Microsoft e seus aliados e todos, exceto um deles, — em 18 de outubro de 2020 — foi desativado. Incluindo os 69 servidores originais, 120 dos 128 servidores Trickbot foram desativados.

Como eles fizeram isso

Em outubro de 2020, a Microsoft obteve um mandado dos EUA permitindo que ela e seus parceiros desabilitassem os endereços IP usados ​​pelos servidores TrickBot C2. Eles tornaram os próprios servidores e seus conteúdos inacessíveis aos operadores do Trickbot. A Microsoft trabalhou globalmente com provedores de telecomunicações e parceiros do setor, incluindo o Centro de Análise e Compartilhamento de Informações de Serviços Financeiros (FS-ISAC), ESET, Lumen, NTT e Symantec.

Tom Burt (vice-presidente corporativo, segurança e confiança do cliente) da Microsoft, afirma que a Microsft pode identificar um novo servidor Trickbot, descobrir quem é o provedor de hospedagem e esclarecer os requisitos legais para desativar o servidor e desative o servidor em menos de três horas. Para casos em territórios onde eles já fecharam um servidor C2, parte disso pode ser acelerado porque as legalidades já estão em vigor ou o processo agora é bem compreendido. Seu recorde de derrubar um novo servidor C2 é de menos de seis minutos.

A equipe da Microsoft continua trabalhando com provedores de serviços de Internet (ISPs) e equipes nacionais de resposta a emergências de computadores (CERTs) para ajudar as organizações a limpar os computadores infectados.

Então o Trickbot está morto?

É muito cedo para ligar. A infraestrutura por trás do malware certamente está em mau estado de saúde. Mas o Trickbot se reinventou várias vezes no passado. Pode já ter feito isso. Os pesquisadores de segurança detectaram um novo tipo de backdoor e downloader de malware que tem semelhanças em nível de código com o malware Trickbot. A atribuição para o novo malware — apelidado de Bazar ou BazarLoader — leva direto para a porta da gangue Trickbot ’. Parece que eles já estavam trabalhando em uma ferramenta de ataque de próxima geração antes do início da ofensiva da Microsoft.

O BazarLoader usa campanhas de phishing por e-mail para iniciar infecções, mas, ao contrário dos e-mails de phishing do Trickbot, eles não carregam um anexo. Em vez disso, eles têm links que pretendem baixar ou abrir documentos no Google Docs. Obviamente, os links levam a vítima a sites fraudulentos e semelhantes. O conteúdo dos e-mails de phishing são informações falsas relacionadas a tópicos tão variados quanto funcionários &’ folhas de pagamento e COVID-19.

O Bazar foi projetado para ser ainda mais furtivo do que o Trickbot, usando criptografia blockchain para mascarar URLs de domínio do servidor C2 e domínios DNS (Domain Name System). Esta nova variante já foi vista distribuindo ransomware Ryuk, que historicamente tem sido um cliente bem conhecido do Trickbot. Talvez o grupo Trickbot já tenha feito a transição de um ou mais clientes para o novo produto?

As coisas estão chegando ao Bazar

Como o Trickbot evoluiu de suas raízes de Trojan para se tornar uma plataforma extensível de crime cibernético para aluguel, adicionar novas funcionalidades ao Trickbot pode ser alcançado com relativa facilidade. Os atores da ameaça escrevem um novo plug-in e o baixam dos servidores C2 para as máquinas de botnet. Um novo plug-in foi detectado em dezembro de 2020. Há pelo menos alguma vida no malware antigo se ele ainda estiver obtendo novas funcionalidades.

O novo plug-in permite que o Trickbot execute um ataque de bootkit UEFI (Unified Extensible Firmware Interface). O ataque UEFI torna o Trickbot muito mais difícil de remover das máquinas infectadas, mesmo sobrevivendo a trocas completas de discos rígidos. Ele também permite que os agentes da ameaça bloqueiem um computador embaralhando seu firmware.

Então, o Trickbot pode estar desaparecendo, mas o grupo por trás do Trickbot está pronto para implantar sua nova plataforma de malware, Bazar. A Microsoft e seus aliados certamente prejudicaram o Trickbot. Com o Trickbot praticamente inoperável, os clientes do grupo do Trickbot terão pressionado para que prestem serviços ilegais pelos quais haviam pago.

E quando seus clientes incluem luminares como Lazarus, grupo de ameaças persistentes avançadas patrocinado pelo estado da Coreia do Norte (APT), você vai precisar de boas respostas para algumas perguntas difíceis sobre seu contrato de nível de serviço e atendimento ao cliente. Isso pode ter levado o grupo Trickbot a terceirizar temporariamente alguns de seus serviços para outro grupo cibercriminoso, para tentar manter algum tipo de capacidade operacional.

Não se junte ao Exército Botnet

Independentemente de quão sofisticados o Trickbot e o Bazar possam ser, eles só são eficazes se forem capazes de infectar computadores para aumentar as fileiras de seu exército de botnets. A chave para evitar o recrutamento é poder localizar os e-mails de phishing e excluí-los em vez de cair na armadilha.

O treinamento da equipe de conscientização sobre segurança cibernética é fundamental aqui. Eles recebem e-mails o dia todo, todos os dias. Eles precisam estar pensando defensivamente o tempo todo. Esses pontos ajudarão a identificar e-mails de phishing.

• Desconfie de coisas fora do comum. Você já recebeu um e-mail do departamento de folha de pagamento contendo links para o Google Docs? Provavelmente não. Isso deve levantar suas suspeitas imediatamente.
• O e-mail foi enviado para você ou você é um dos muitos destinatários? Faz sentido que esse tipo de e-mail vá para um público mais amplo?
• O texto em um hiperlink pode ser feito para dizer qualquer coisa, isso não é garantia de que o link realmente o levará até lá. Passe o ponteiro do mouse sobre qualquer link no corpo do e-mail. Em um aplicativo de e-mail, uma dica de ferramenta aparecerá com o destino real do link. Se você estiver usando um cliente de webmail, o destino do link decodificado será exibido em algum lugar, geralmente no canto inferior esquerdo da janela do navegador. Se o destino do link parecer suspeito, não clique nele.
• A gramática do e-mail está correta? O e-mail tem o tom certo e usa a frase que você esperaria nesse tipo de comunicação? Erros de ortografia e gramática inadequada devem ser considerados sinais de alerta.
• Os logotipos, rodapés e outros elementos da pintura corporativa parecem ser genuínos? Ou parecem cópias de baixa qualidade que foram obtidas de outro lugar?
• Nenhuma organização de boa-fé jamais pedirá senhas, detalhes de contas e outras informações confidenciais.

Como sempre, prevenir é melhor do que remediar.