Operazione TrickBot: un'azione congiunta paralizza la rete globale di eCrime. I ricercatori ESET hanno supportato l'attacco riuscito contro una grande botnet TrickBot.
Il settore della sicurezza informatica reagisce: i ricercatori ESET hanno preso parte a un'operazione globale contro la botnet TrickBot, che dal 2016 ha infettato oltre un milione di computer. Insieme a Microsoft, Black Lotus Labs Threat Research di Lumen, NTT e altre società, l'offensiva ha messo sotto pressione la rete globale di eCrime TrickBot. Grazie all'azione congiunta è stato possibile sferrare un colpo importante alla spina dorsale della rete del cybercrimine e paralizzarne i server di comando e controllo. ESET ha contribuito al successo del processo con analisi tecniche dettagliate, informazioni statistiche, nomi di dominio e IP dei server di comando e controllo. La più grande botnet del mondo è nota soprattutto per il furto di dati di accesso e la distribuzione di trojan bancari. Gli ultimi risultati mostrano anche che gli autori hanno ulteriormente ampliato il loro portafoglio eCrime e stanno utilizzando TrickBot come meccanismo di trasmissione per attacchi più completi e estese infiltrazioni di codice dannoso. Questi includevano anche attacchi ransomware contro aziende e organizzazioni.
Rete eCrime attiva dal 2016
I ricercatori ESET hanno monitorato le attività della rete globale di eCrime TrickBot da quando è stata scoperta per la prima volta alla fine del 2016. Solo in questa rete, ESET ha analizzato più di 125.000 nuovi malware per computer TrickBot utilizzando la sua piattaforma di tracciamento botnet. Inoltre, è stato possibile scaricare e decrittografare più di 40.000 file di configurazione utilizzati nei vari moduli TrickBot.
“Da anni monitoriamo la botnet TrickBot e ne abbiamo ripetutamente scoperto gli ulteriori sviluppi. Questo la rende una delle reti più grandi e longeve di computer violati", spiega Jean-Ian Boutin, Head of ESET Research. "Inoltre, TrickBot è una delle famiglie di malware bancari più diffuse e rappresenta quindi una seria minaccia per tutti gli utenti di Internet."
Trickbot ed Emotet in coppia
Il codice dannoso è stato distribuito con grande successo in vari modi nel corso degli anni. Gli esperti di sicurezza ESET hanno recentemente osservato un nuovo sviluppo: TrickBot è stato installato preferibilmente su sistemi già infettati dal noto codice dannoso Emotet e che facevano già parte delle sue botnet. In passato, gli operatori utilizzavano il malware TrickBot principalmente come trojan bancario. Lo scopo era sottrarre dati di accesso da conti bancari online ed effettuare bonifici fraudolenti. Di recente è emersa una nuova tendenza. I criminali informatici hanno ampliato il proprio portafoglio e utilizzato l'infrastruttura eCrime esistente per attacchi ransomware mirati contro aziende e organizzazioni.
Metodologia di infezione TrickBot
Uno dei plug-in più vecchi consente a TrickBot di utilizzare le cosiddette web injection. La tecnologia consente al malware di modificare dinamicamente l'aspetto dei siti Web quando l'utente di un computer infetto li visita. “Analizzando molte campagne TrickBot, abbiamo identificato decine di migliaia di diversi file di configurazione. Pertanto sappiamo a quali siti web si rivolgono gli operatori. La maggior parte degli URL apparteneva a istituti finanziari", aggiunge Boutin. “Fermare le attività della botnet TrickBot è estremamente difficile. Gli autori hanno a disposizione un'ampia varietà di meccanismi di fallback e sono anche ben collegati con altri attori criminali informatici. Effettuare attacchi contro tali reti è quindi un'operazione molto complessa".
Scopri di più su WeLiveSecurity su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.