O botnet TrickBot sobrevive à tentativa de remoção e a Microsoft abre um novo precedente legal
A Microsoft argumentou com sucesso no tribunal contra o uso de SDKs do Windows dentro do código de malware, um precedente que seria capaz de usar repetidamente em futuras invasões de botnet.
O botnet TrickBot sobreviveu a uma tentativa de queda orquestrada por uma coalizão de empresas de tecnologia na segunda-feira.
Os servidores e domínios de comando e controle (C&C) TrickBot apreendidos ontem foram substituídos por uma nova infraestrutura hoje, disseram várias fontes da comunidade infosec à ZDNet.
Fontes de empresas que monitoram a atividade do TrickBot descreveram os efeitos da queda como “temporais” e “limitados”, mas elogiaram a Microsoft e seus parceiros pelo esforço, independentemente de seus resultados atuais.
“Nossa estimativa agora é o que a queda fez foi dar às vítimas atuais um fôlego”, disse um pesquisador de segurança.
Embora algumas empresas tenham concordado em registrar, a ZDNet decidiu abster-se de usar qualquer um dos nomes de nossas fontes entrevistadas para evitar criticar indiretamente as entidades envolvidas na remoção ( equipe de defesa da Microsoft , FS-ISAC , ESET , Black Lotus Labs da Lumen , NTT , e a divisão de segurança cibernética da Broadcom (Symantec ).
Mas em entrevistas privadas, até mesmo pesquisadores de segurança da ESET, Microsoft e Symantec disseram à ZDNet que nunca esperavam derrubar o TrickBot para sempre com um golpe rápido.
Uma fonte descreveu a ação de segunda-feira como “atrapalhar” o botnet em vez de “cortar sua cabeça. ZDNet foi informado de que, mesmo nas fases iniciais de planejamento, as partes envolvidas esperavam que o TrickBot voltasse, e planejaram com antecedência as ações de acompanhamento.
“Como vimos em operações anteriores [de remoção], os resultados de uma interrupção global envolvendo vários parceiros aparecem em etapas”, disse Tom Burt, CVP de Segurança e Confiança do Cliente da Microsoft, à ZDNet por e-mail na segunda-feira.
“Prevemos que os operadores do Trickbot tentarão reviver suas operações e tomaremos medidas legais e técnicas adicionais para impedi-los, se necessário”, acrescentou Burt.
Essa abordagem de várias fases para interromper o TrickBot é um resultado direto da infraestrutura complexa do botnet, grande parte da qual é executada em sistemas de hospedagem à prova de balas, que não respondem ou são lentos para reagir a tentativas de remoção.
Em um boletim de inteligência de ameaças com distribuição restrita compartilhada com ZDNet na noite de segunda-feira, a empresa de segurança Intel471 observou que TrickBot começou a mover servidores C&C para o sistema de nomes de domínio descentralizado EmerDNS como uma forma de conter a tentativa de remoção em andamento. Na terça-feira de manhã, a infraestrutura do botnet havia se recuperado, embora não estivesse tão ativa como nos dias anteriores.
MESMO UMA TENTATIVA DE QUEDA FALHADA TEM SEUS EFEITOS
Mas, falando com a ZDNet, as fontes disseram que os esforços de interrupção não se concentraram apenas em derrubar servidores TrickBot, que eles sabiam que seriam temporários e não teriam efeitos duradouros.
Outros objetivos também foram discutidos e levados em consideração. Isso incluiu incorrer em custos adicionais para os autores do TrickBot e atrasar as operações de malware atuais, como ataques de ransomware que geralmente são entregues usando o TrickBot como um canal.
Além disso, os pesquisadores de segurança também procuraram prejudicar a reputação do TrickBot nos círculos do cibercrime.
TrickBot é uma das 3 operações mais bem-sucedidas de Malware-as-a-Service (MaaS) no submundo do crime cibernético. O botnet usa campanhas de spam por e-mail para infectar computadores, baixa seu malware e rouba dados de hosts infectados que posteriormente revende com fins lucrativos. Mas o botnet também aluga acesso a computadores infectados para outros grupos criminosos, o que também responde por uma parte significativa de seus lucros. Esses “clientes” incluem operadores de trojans infostealer, grupos de fraude BEC, gangues de ransomware e até mesmo grupos de hackers de estado-nação.
A Microsoft e seus parceiros queriam prejudicar essa reputação entre outras gangues do crime cibernético e enviar uma mensagem de que o TrickBot não é tão intocável quanto seus “clientes” podem pensar.
Um botnet que pode ser interrompido corre o risco de expor e comprometer as operações de “clientes”, alguns dos quais podem não querer ser expostos ao rastreamento da aplicação da lei. Um botnet que pode ser interrompido não é confiável para os negócios, especialmente para clientes regulares do TrickBot que estão pagando taxas consideráveis para ter acesso aos sistemas infectados em momentos precisos.
Os pesquisadores esperam que o tapa que o TrickBot recebeu esta semana repercuta em seus negócios.
UM NOVO PRECEDENTE LEGAL
Mas a derrubada do TrickBot também teve outro papel, invisível para a maioria dos observadores. O processo judicial que precedeu a queda também ajudou a Microsoft a abrir um novo precedente legal.
No tribunal, o fabricante do sistema operacional argumentou que o malware TrickBot abusou do código do Windows para fins maliciosos, contra os termos de serviço do kit de desenvolvimento de software (SDK) padrão do Windows, no qual todos os aplicativos do Windows são usados.
A Microsoft argumentou com sucesso que o TrickBot estava infringindo os direitos autorais da Microsoft de seu próprio código ao copiar e usar seus SDKs para fins maliciosos.
Alguns podem chamar essa abordagem de derrubar um botnet de mesquinha ou pedante, mas também é uma jogada legal genial.
Em casos anteriores, a Microsoft ou a aplicação da lei geralmente tinham que apresentar evidências e estar pronta para provar que o malware estava incorrendo em danos financeiros às vítimas em uma determinada jurisdição, etapas que geralmente significavam identificar e contatar as vítimas.
A nova abordagem focada no uso indevido de seu código do Windows SDK é mais fácil de provar e argumentar, mas também pode ser usada em qualquer jurisdição, fornecendo à equipe jurídica da Microsoft uma abordagem mais ágil para ir atrás de gangues de malware – é por isso que a Microsoft está provavelmente reutilizá-lo para uma repressão mais rápida no futuro.
