Golpe a Trickbot y el ransomware Ryuk: Microsoft y varias empresas de ciberseguridad desactivan una de las mayores botnets del mundo
Gran victoria sobre una de las redes de bots más peligrosas del mundo. Trickbot ha infectado más de un millón de dispositivos desde finales de 2016 y está considerada por los Estados Unidos como una de las amenazas más grandes por sus ataques de ransomware y su posible interferencia en las próximas elecciones. Pese a que sus responsables son desconocidos, se cree que Trickbot es utilizada por múltiples estados y organizaciones criminales.
Microsoft y las firmas de ciberseguridad ESET, NTT y Black Lotus Labs se han unido para intentar poner fin y bloquear los ataques de Trickbot. Una ofensiva para reducir, aunque sea temporalmente, ataques de ransomware como Emotet o Ryuk, muy populares en los últimos años y que previsiblemente estuvieron detrás de los ataques al Ayuntamiento de Jérez, Prosegur o la Cadena Ser. Siendo estos solo algunos de los casos que han salido a la luz.
Qué es Trickbot y qué ha ocurrido
Microsoft ha ejecutado un ataque legal para desarticular la red de bots. Un juzgado de Virginia ha autorizado a Microsoft a hacerse con el control de múltiples servidores que utilizaba Trickbot para infectar otros sistemas. Según ha argumentado la compañía, Trickbot provocaba daños irreparables a la marca Microsoft, corrompiendo sus productos y alterando el funcionamiento de Windows.
Según describe ESET, tras analizar 125.000 muestras maliciosas en 2020, Trickbot distribuye el malware de distintas formas, en ocasiones aprovechando sistemas ya comprometidos previamente por otras botnets como Emotet. Gracias a esta investigación, realizada junto a Microsoft, Symantec y otras firmas de ciberseguridad, el grupo pudo mapear cómo funciona Trickbot y qué servidores utilizaban.
Trickbot se ha convertido en una vía para implementar varios ransomware en redes corporativas para posteriormente solicitar un rescate a cambio de no publicar la información obtenida. Entre los ransomware más conocidos de Trickbot está 'Ryuk', utilizado para atacar numerosas organizaciones, incluyendo hospitales.
Poner fin a estos ataques no será tan fácil
El alcance de Trickbot se expande por el mundo y pocos países quedan fuera. La importante operación contra esta red de bots ha desactivado su centro de mando, pero no parece que vaya a ser definitiva.
Según explica ESET, la actividad de la botnet ha disminuido desde octubre, pero podría no estar vinculado estrictamente a la operación. Según sus datos, la mayor actividad de la red ocurrió durante los meses de enero y febrero, en marzo aparentemente se detuvo totalmente, pero posteriormente continuaron atacando sistemas.
Desde Microsoft se ha conseguido que la botnet no pueda obtener nuevos servidores pero, según apuntan expertos como Brian Krebs, esta acción "previsiblemente está condenada a fallar" por la propia naturaleza de la botnet.