Relatório: Comando cibernético dos EUA por trás dos truques do Trickbot

Além disso, alguém colocou milhões de registros falsos sobre novas vítimas no banco de dados do Trickbot – aparentemente para confundir ou bloquear os operadores do botnet.

Em uma matéria publicada em 9 de outubro, o The Washington Post relatou que quatro oficiais dos EUA que falaram sob condição de anonimato disseram que a interrupção do Trickbot foi obra do US Cyber ​​Command , um braço do Departamento de Defesa chefiado pelo diretor da Agência de Segurança Nacional (NSA).

O relatório do Post sugeriu que a ação foi uma tentativa de impedir que o Trickbot fosse usado para interferir de alguma forma na próxima eleição presidencial, observando que o Cyber ​​Command foi fundamental para interromper o acesso à Internet das fazendas de trolls online russas durante as eleições de meio de mandato de 2018.

O Post disse que as autoridades americanas reconheceram que sua operação não desmantelaria permanentemente o Trickbot, descrevendo-o como “uma maneira de distraí-los por pelo menos um tempo enquanto procuram restaurar suas operações”.

Alex Holden , diretor de segurança da informação e presidente da Hold Security com base em Milwaukee , tem monitorado a atividade do Trickbot antes e depois da operação de 10 dias. Holden disse que embora o ataque ao Trickbot pareça ter cortado seus operadores de um grande número de computadores vítimas, os bandidos ainda têm senhas, dados financeiros e resmas de outras informações confidenciais roubadas de mais de 2,7 milhões de sistemas em todo o mundo.

Holden disse que os operadores do Trickbot começaram a reconstruir seu botnet e continuam a implantar ransomware em novos alvos.

“Eles estão funcionando normalmente e suas operações de ransomware estão praticamente em pleno funcionamento”, disse Holden. “Eles não estão diminuindo a velocidade porque ainda têm uma grande quantidade de dados roubados.”

Holden acrescentou que, desde a primeira notícia da interrupção, há uma semana, os cibercriminosos de língua russa por trás do Trickbot vêm discutindo como recuperar suas perdas e estão brincando com a ideia de aumentar enormemente a quantidade de dinheiro exigida de futuras vítimas de ransomware.

“Há uma conversa acontecendo nos canais de apoio”, disse Holden. “Normalmente, eles pedem [um valor de resgate] que é algo em torno de 10% das receitas anuais da empresa vítima. Agora, alguns dos caras envolvidos estão falando sobre aumentar isso para 100% ou 150%. ”

Fonte: https://krebsonsecurity.com/2020/10/report-u-s-cyber-command-behind-trickbot-tricks/