27 de abril de 2024

Relatório: Comando cibernético dos EUA por trás dos truques do Trickbot

12 de outubro de 2020

Em 2 de outubro, KrebsOnSecurity relatou que duas vezes nos dez dias anteriores, uma entidade desconhecida que tinha acesso interno ao botnet Trickbot enviou a todos os sistemas infectados um comando dizendo-lhes para se desconectarem dos servidores de Internet que os overlords do Trickbot usavam para controlar computadores Microsoft Windows comprometidos .

Além disso, alguém colocou milhões de registros falsos sobre novas vítimas no banco de dados do Trickbot – aparentemente para confundir ou bloquear os operadores do botnet.

Em uma matéria publicada em 9 de outubro, o The Washington Post relatou que quatro oficiais dos EUA que falaram sob condição de anonimato disseram que a interrupção do Trickbot foi obra do US Cyber ​​Command , um braço do Departamento de Defesa chefiado pelo diretor da Agência de Segurança Nacional (NSA).

O relatório do Post sugeriu que a ação foi uma tentativa de impedir que o Trickbot fosse usado para interferir de alguma forma na próxima eleição presidencial, observando que o Cyber ​​Command foi fundamental para interromper o acesso à Internet das fazendas de trolls online russas durante as eleições de meio de mandato de 2018.

O Post disse que as autoridades americanas reconheceram que sua operação não desmantelaria permanentemente o Trickbot, descrevendo-o como “uma maneira de distraí-los por pelo menos um tempo enquanto procuram restaurar suas operações”.

Alex Holden , diretor de segurança da informação e presidente da Hold Security com base em Milwaukee , tem monitorado a atividade do Trickbot antes e depois da operação de 10 dias. Holden disse que embora o ataque ao Trickbot pareça ter cortado seus operadores de um grande número de computadores vítimas, os bandidos ainda têm senhas, dados financeiros e resmas de outras informações confidenciais roubadas de mais de 2,7 milhões de sistemas em todo o mundo.

Holden disse que os operadores do Trickbot começaram a reconstruir seu botnet e continuam a implantar ransomware em novos alvos.

“Eles estão funcionando normalmente e suas operações de ransomware estão praticamente em pleno funcionamento”, disse Holden. “Eles não estão diminuindo a velocidade porque ainda têm uma grande quantidade de dados roubados.”

Holden acrescentou que, desde a primeira notícia da interrupção, há uma semana, os cibercriminosos de língua russa por trás do Trickbot vêm discutindo como recuperar suas perdas e estão brincando com a ideia de aumentar enormemente a quantidade de dinheiro exigida de futuras vítimas de ransomware.

“Há uma conversa acontecendo nos canais de apoio”, disse Holden. “Normalmente, eles pedem [um valor de resgate] que é algo em torno de 10% das receitas anuais da empresa vítima. Agora, alguns dos caras envolvidos estão falando sobre aumentar isso para 100% ou 150%. ”

Fonte: https://krebsonsecurity.com/2020/10/report-u-s-cyber-command-behind-trickbot-tricks/

Matérias Relacionadas

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Criminosos entregam malware por meio de cracks de videogame no YouTube

3 de abril de 2024

O aumento das táticas de malware impulsiona uma epidemia global de crimes cibernéticos

2 de abril de 2024

Veja mais..

Na teia obscura, segredos médicos à venda

26 de abril de 2024

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024