Un gruppo di aziende attive nel settore della sicurezza informatica, tra cui spiccano i nomi di Microsoft, ESET, Symantec, FS-ISAC, oltre a Lumen’s Black Lotus Labs, e NTT, ha annunciato di aver fattivamente collaborato per mettere al tappeto TrickBot e la sua botnet.
Microsoft, ESET, Symantec e gli altri partner hanno speso diversi mesi nel raccogliere più di 125.000 campioni di malware TrickBot analizzandone il contenuto ed estraendo e mappando le informazioni sul funzionamento interno del malware. Gli esperti hanno provveduto ad annotare anche l’elenco dei server che la botnet utilizzata dai criminali informatici ha sfruttato per controllare i computer infetti e distribuire moduli aggiuntivi per amministrare a distanza i sistemi altrui.
In un comunicato diffuso quest’oggi, i tecnici Microsoft spiegano che l’azienda ha ottenuto il via libera da parte del tribunale per disabilitare gli indirizzi IP, rendere inaccessibili i contenuti memorizzati sui server command and control, bloccare i servizi usati dai gestori della botnet e qualsiasi ulteriore tentativo di acquistare o noleggiare server aggiuntivi.
L’operazione ha visto coinvolti molteplici fornitori Internet in tutto il mondo e le organizzazioni incaricate di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software (CERT).
Secondo quanto dichiarato dai tecnici che hanno partecipato agli sforzi per bloccare il funzionamento di TrickBot, al momento del loro intervento la botnet coinvolgeva qualcosa come più di un milione di sistemi precedentemente infettati dal malware. Tra i dispositivi molti erano anche device del mondo Internet delle Cose (IoT).
Il malware TrickBot è apparso per la prima volta sulla scena mondiale nel 2016 come banking trojan, progettato quindi per sottrarre le credenziali di accesso altrui per la gestione dei conti correnti bancari. Col passare del tempo TrickBot si è trasformato in un downloader multi-purpose ovvero in un componente malevolo capace di infettare i sistemi e, soprattutto, di offrire l’accesso alle macchine ai vari gruppi di criminali informatici (modello MaaS, Malware-as-a-Service).
Insieme con quella di Emotet (Malware Emotet: come scoprire se si è coinvolti negli attacchi), la botnet di TrickBot è una delle piattaforme MaaS più attive.
La botnet TrickBot è stata sfruttata anche per insediare componenti utili a sottrarre informazioni personali, nello spionaggio industriale e nell’ambito di attacchi finanziati da alcuni stati.