Trickbot, Phishing, Ransomware e Eleições
O botnet sofreu alguns ataques recentemente, mas isso não significa que a ameaça acabou. Aqui estão algumas etapas que você pode seguir para mantê-lo longe de sua porta.
As últimas semanas foram difíceis para os operadores do botnet Trickbot, uma operação de malware como serviço, que está enfrentando ataques coordenados tanto do US Cyber Command quanto da Microsoft , com a ajuda de vários parceiros. Os operadores do Trickbot passaram de bem-sucedidos, com mais de um milhão de infecções, a se tornarem o alvo dos militares dos EUA e de grandes corporações – e a Reuters está relatando que as acusações resultantes de uma investigação do FBI serão reveladas em breve.
Essa história que tem um pouco de tudo: intriga internacional, ataques a provedores de saúde, phishing em grande escala (usando tópicos como COVID-19 e Black Lives Matter como iscas), Internet das Coisas, contra-hacking, ransomware, roubado segredos do governo, novas técnicas jurídicas e até mesmo um impacto potencial nas eleições . Há o suficiente aqui para um thriller tecnológico.
Embora o Trickbot tenha levado alguns socos fortes, provavelmente não foi feito. Seus servidores de comando e controle (C2) estão espalhados pelo mundo, alguns longe do alcance da ordem judicial que a Microsoft está usando para derrubar muitos deles. Também há sinais de que as pessoas por trás do Trickbot estão revidando, trazendo novos servidores enquanto outros são desativados. Interromper um botnet é uma coisa, mas matá-lo é outra.
Como muitos botnets, o Trickbot tem um histórico de ser usado para uma variedade de coisas, enviando e-mails de phishing para se espalhar ainda mais, capturando credenciais dos navegadores das vítimas e distribuindo ransomware (Ryuk, neste caso) – criptografando arquivos e exigindo pagamento por sua devolução . Como costuma acontecer, o dano total causado por um botnet como esse é difícil de quantificar, mas com mais de um milhão de infecções, é seguro dizer que o dano foi substancial. E lembre-se de que uma das vítimas era um importante provedor de saúde . Embora o impacto no nível de clareza do provedor não seja claro hoje, deve-se perguntar se os resultados de saúde foram afetados.
Uma nova abordagem legal
Microsoft usou os tribunais para derrubar outros botnets, embora desta vez tenha usado uma nova manobra legal: violação de direitos autorais. Para garantir a ordem de retirar os endereços IP usados pelos servidores Trickbot C2, a Microsoft apontou que todos os programas executados no Windows exigem o uso do SDK do Windows (por exemplo, os arquivos de cabeçalho da API do Windows) e do SDK licença inclui uma cláusula que proíbe seu uso “em programas maliciosos, enganosos ou ilegais”. Além disso, a Microsoft alegou violação de marca registrada e outras violações da lei, como fez em casos anteriores.
Em essência, o argumento é que qualquer programa direcionado ao Windows que seja malicioso, enganoso ou ilegal viola a licença associada ao SDK e, portanto, é uma violação dos direitos autorais da Microsoft. Isso forneceu à Microsoft (e aos fabricantes de outros sistemas operacionais) um novo método para combater os criadores de malware.
É um Phish … Novamente
Freqüentemente, o caminho para a infecção começa com um e-mail, algo cativante ou importante na linha de assunto e um anexo ou link para um arquivo. Se o arquivo for aberto, a vítima é induzida a ativar uma macro maliciosa e, em seguida, o sistema é comprometido. As ferramentas de segurança são desativadas, os dados são roubados de várias fontes e são lançados ataques contra outros sistemas.
Phishing – de e-mails em massa enviados indiscriminadamente a spear-phishing altamente direcionado e personalizado – é uma ameaça que ano após ano continua a ser uma das maiores ameaças tanto para empresas quanto para usuários finais. Essa ameaça onipresente é aquela da qual todos devem estar cientes e tomar medidas para se proteger. Aqui estão várias maneiras de fazer isso:
- Os sistemas de e-mail devem ser configurados para verificar e bloquear ameaças conhecidas.
- Os sistemas do usuário devem ser configurados para desativar recursos perigosos, como macros em documentos do Office (a menos que seja absolutamente necessário).
- Os anexos de email devem ser tratados como suspeitos por padrão; os usuários nunca devem presumir que qualquer anexo é confiável, a menos que estejam esperando por ele e seja proveniente de um remetente confiável. Suponha que seja malicioso, a menos que haja um bom motivo para acreditar o contrário.
- Só porque parece que é de alguém reconhecível, não significa que seja; qualquer coisa que pareça estranha ou suspeita deve ser confirmada fora de banda antes de clicar em links ou abrir anexos.
É sempre melhor ser cauteloso ao lidar com e-mail, especialmente quando algo parece errado.
Ataques de ransomware e segurança eleitoral
Nos Estados Unidos, existem mais de 10.000 jurisdições eleitorais distintas, usando alguma combinação de recursos técnicos municipais, regionais e estaduais. Cada um deles representa um alvo para operações organizadas de ransomware, alvos que oferecem valor crescente conforme a eleição se aproxima.
Conforme os alvos vulneráveis são encontrados, os operadores podem esperar até que seja o melhor momento, quando é mais lucrativo atacar. À medida que nos aproximamos de uma eleição que pode trazer comparecimento recorde e controvérsia, quaisquer atrasos ou interrupções certamente atrairão a atenção nacional e levantarão questões sobre a integridade do resultado. Isso significa que qualquer coisa que esteja vagamente relacionada às eleições é o principal alvo, e as autoridades estariam desesperadas para se recuperar o mais rápido possível.
Entender essa tática dos operadores de ransomware torna fácil ver por que é importante agir mais cedo ou mais tarde.
O futuro do Trickbot
O próprio Trickbot pode sobreviver ou não a esse esforço para encerrar seus ataques, mas as técnicas e o código por trás disso podem sobreviver – e uma vez que ele acabe, haverá um substituto. Os criminosos estão ganhando muito dinheiro com essas operações e sempre haverá outro pronto para substituir o que for encerrado.
Embora essa interrupção seja uma vitória real, ainda é necessária vigilância.