A Microsoft aplicou, por meio de uma ordem judicial, concedida pelo Tribunal Distrital dos Estados Unidos para o Distrito Oriental da Virgínia, medidas técnicas em colaboração com provedores de telecomunicações de todo o mundo para interromper as operações de uma botnet chamada Trickbot, uma das botnets e distribuidoras de ransomware mais conhecidas e atuantes, tendo impactado até o momento mais de 1 milhão de vítimas em todo o mundo desde o final de 2016. A companhia informa que isolou a infraestrutura principal, de modo que os operadores da Trickbot não sejam capazes de iniciar novas infecções nem ativar ransomwares já instalados em computadores.
A Microsoft e seus parceiros (ISPs e CERTs locais) conseguiram identificar que parte da infraestrutura criminosa estava localizada na Argentina, Brasil, Colômbia, Equador, Paraguai e Uruguai, afetando dispositivos IoT em toda a região. Embora a identidade exata dos operadores ainda seja desconhecida, pesquisas sugerem que eles servem tanto a estados-nações quanto a redes criminosas em uma variedade de objetivos.
No decorrer das investigações da Microsoft sobre a Trickbot, foram analisados aproximadamente 61.000 amostras do malware Trickbot, considerado muito perigoso porque tem capacidades modulares que evoluem constantemente, infectando vítimas para os propósitos dos operadores por meio de um modelo de "Malware como um Serviço”. Seus operadores poderiam fornecer acesso a máquinas infectadas e oferecer a seus clientes um mecanismo de entrega para muitas formas de malware, incluindo ransomware.
Além de infectar computadores de usuários finais, a Trickbot também infectou uma série de dispositivos de Internet das Coisas, como roteadores, que ampliaram o alcance da Trickbot para residências e organizações. As campanhas de spam e spearphishing da Trickbot usadas para distribuir malware incluíram tópicos como Black Lives Matter e COVID-19, levando as pessoas a clicar em documentos ou links mal-intencionados.
Com base nos dados que vemos através da Detecção Avançada de Ameaças do Microsoft Office 365, a Trickbot tem sido a operação de malware mais atuante usando chamarizes com o tema da COVID-19. A Trickbot também é conhecida por entregar o cripto-ransomware Ryuk, que tem sido usado em ataques contra uma grande variedade de instituições públicas e privadas. Ransomware pode ter efeitos devastadores. Recentemente, ele paralisou a rede de TI de um hospital alemão, resultando na morte de uma mulher que precisava de tratamento de emergência.
O Ryuk é um cripto-ransomware sofisticado porque identifica e criptografa arquivos de rede e desabilita a Restauração do Sistema do Windows para evitar que as pessoas possam se recuperar do ataque sem backups externos. O Ryuk tem atacado organizações, incluindo governos municipais, tribunais estaduais, hospitais, casas de repouso, empresas e grandes universidades. Por exemplo, o Ryuk foi atribuído a ataques dirigidos a um prestador de serviço do Departamento de Defesa dos EUA, à cidade de Durham, na Carolina do Norte, a um fornecedor de TI para 110 casas de repouso e hospitais durante a pandemia da COVID-19.
FONTE:CONVERGENCIA DIGITAL
Nenhum comentário:
Postar um comentário