Trickbot, Phishing, Ransomware e Eleições

As últimas semanas foram difíceis para os operadores do botnet Trickbot, uma operação de malware como serviço, que está enfrentando ataques coordenados tanto do US Cyber ​​Command quanto da Microsoft , com a ajuda de vários parceiros. Os operadores do Trickbot passaram de bem-sucedidos, com mais de um milhão de infecções, a se tornarem o alvo dos militares dos EUA e de grandes corporações – e a Reuters está relatando que as acusações resultantes de uma investigação do FBI serão reveladas em breve.

Essa história que tem um pouco de tudo: intriga internacional, ataques a provedores de saúde, phishing em grande escala (usando tópicos como COVID-19 e Black Lives Matter como iscas), Internet das Coisas, contra-hacking, ransomware, roubado segredos do governo, novas técnicas jurídicas e até mesmo um impacto potencial nas eleições . Há o suficiente aqui para um thriller tecnológico.

Embora o Trickbot tenha levado alguns socos fortes, provavelmente não foi feito. Seus servidores de comando e controle (C2) estão espalhados pelo mundo, alguns longe do alcance da ordem judicial que a Microsoft está usando para derrubar muitos deles. Também há sinais de que as pessoas por trás do Trickbot estão revidando, trazendo novos servidores enquanto outros são desativados. Interromper um botnet é uma coisa, mas matá-lo é outra.

Como muitos botnets, o Trickbot tem um histórico de ser usado para uma variedade de coisas, enviando e-mails de phishing para se espalhar ainda mais, capturando credenciais dos navegadores das vítimas e distribuindo ransomware (Ryuk, neste caso) – criptografando arquivos e exigindo pagamento por sua devolução . Como costuma acontecer, o dano total causado por um botnet como esse é difícil de quantificar, mas com mais de um milhão de infecções, é seguro dizer que o dano foi substancial. E lembre-se de que uma das vítimas era um importante provedor de saúde . Embora o impacto no nível de clareza do provedor não seja claro hoje, deve-se perguntar se os resultados de saúde foram afetados.

Uma nova abordagem legal
Microsoft usou os tribunais para derrubar outros botnets, embora desta vez tenha usado uma nova manobra legal: violação de direitos autorais. Para garantir a ordem de retirar os endereços IP usados ​​pelos servidores Trickbot C2, a Microsoft apontou que todos os programas executados no Windows exigem o uso do SDK do Windows (por exemplo, os arquivos de cabeçalho da API do Windows) e do SDK licença inclui uma cláusula que proíbe seu uso “em programas maliciosos, enganosos ou ilegais”. Além disso, a Microsoft alegou violação de marca registrada e outras violações da lei, como fez em casos anteriores.

Em essência, o argumento é que qualquer programa direcionado ao Windows que seja malicioso, enganoso ou ilegal viola a licença associada ao SDK e, portanto, é uma violação dos direitos autorais da Microsoft. Isso forneceu à Microsoft (e aos fabricantes de outros sistemas operacionais) um novo método para combater os criadores de malware.

É um Phish … Novamente
Freqüentemente, o caminho para a infecção começa com um e-mail, algo cativante ou importante na linha de assunto e um anexo ou link para um arquivo. Se o arquivo for aberto, a vítima é induzida a ativar uma macro maliciosa e, em seguida, o sistema é comprometido. As ferramentas de segurança são desativadas, os dados são roubados de várias fontes e são lançados ataques contra outros sistemas.

Phishing – de e-mails em massa enviados indiscriminadamente a spear-phishing altamente direcionado e personalizado – é uma ameaça que ano após ano continua a ser uma das maiores ameaças tanto para empresas quanto para usuários finais. Essa ameaça onipresente é aquela da qual todos devem estar cientes e tomar medidas para se proteger. Aqui estão várias maneiras de fazer isso:

• Os sistemas de e-mail devem ser configurados para verificar e bloquear ameaças conhecidas.
  
• Os sistemas do usuário devem ser configurados para desativar recursos perigosos, como macros em documentos do Office (a menos que seja absolutamente necessário).
  
• Os anexos de email devem ser tratados como suspeitos por padrão; os usuários nunca devem presumir que qualquer anexo é confiável, a menos que estejam esperando por ele e seja proveniente de um remetente confiável. Suponha que seja malicioso, a menos que haja um bom motivo para acreditar o contrário.
  
• Só porque parece que é de alguém reconhecível, não significa que seja; qualquer coisa que pareça estranha ou suspeita deve ser confirmada fora de banda antes de clicar em links ou abrir anexos.

É sempre melhor ser cauteloso ao lidar com e-mail, especialmente quando algo parece errado.

Ataques de ransomware e segurança eleitoral
Nos Estados Unidos, existem mais de 10.000 jurisdições eleitorais distintas, usando alguma combinação de recursos técnicos municipais, regionais e estaduais. Cada um deles representa um alvo para operações organizadas de ransomware, alvos que oferecem valor crescente conforme a eleição se aproxima.

Conforme os alvos vulneráveis ​​são encontrados, os operadores podem esperar até que seja o melhor momento, quando é mais lucrativo atacar. À medida que nos aproximamos de uma eleição que pode trazer comparecimento recorde e controvérsia, quaisquer atrasos ou interrupções certamente atrairão a atenção nacional e levantarão questões sobre a integridade do resultado. Isso significa que qualquer coisa que esteja vagamente relacionada às eleições é o principal alvo, e as autoridades estariam desesperadas para se recuperar o mais rápido possível.

Entender essa tática dos operadores de ransomware torna fácil ver por que é importante agir mais cedo ou mais tarde.

O futuro do Trickbot
O próprio Trickbot pode sobreviver ou não a esse esforço para encerrar seus ataques, mas as técnicas e o código por trás disso podem sobreviver – e uma vez que ele acabe, haverá um substituto. Os criminosos estão ganhando muito dinheiro com essas operações e sempre haverá outro pronto para substituir o que for encerrado.

Embora essa interrupção seja uma vitória real, ainda é necessária vigilância.

Fonte: https://www.darkreading.com/vulnerabilities—threats/trickbot-phishing-ransomware-and-elections/a/d-id/1339190