La red de ransomware Trickbot ha tenido 1 millón de víctimas en el mundo, según informó Microsoft.

A través de una orden judicial, Microsoft aplica medidas técnicas en colaboración con proveedores de telecomunicaciones de todo el mundo para interrumpir las operaciones de un botnet llamado Trickbot, uno de los botnets y distribuidores prolíficos de ransomware más conocidos y que ha impactado 1 millón de víctimas en todo el mundo desde finales de 2016.

Ransomware se refiere a los programas maliciosos que infectan sistemas para secuestrar su acceso o contenido, con el fin de luego exigir a sus legítimos dueños que paguen un rescate por recuperarlos.

La compañía ha aislado la infraestructura principal, de modo que los operadores de Trickbot no podrán iniciar infecciones nuevas ni activar el ransomware que ya se encuentra instalado en los sistemas, se informó mediante comunicado.

Con la cercanía de las elecciones, el gobierno de Estados Unidos y otros expertos han reconocido la gran amenaza que supone este tipo de delito cibernético, porque adversarios pueden recurrir a ransomware para infectar los sistemas que se usan para registrar los resultados y apoderarse a una hora determinada para sembrar caos y desconfianza.

Además de proteger la infraestructura de las elecciones contra los ataques de ransomware, las medidas implementadas por Microsoft el día de hoy, protegerán a una amplia variedad de organizaciones, tales como instituciones de servicios financieros, agencias gubernamentales, centros de salud, empresas y universidades, contra las diferentes infecciones de malware provocadas por Trickbot.

El Trickbot botnet

Microsoft y sus socios locales pudieron identificar que parte de la infraestructura criminal estaba ubicada en Argentina, Brasil, Colombia, Ecuador, Paraguay Uruguay afectando los dispositivos conectados a internet (IoT) en toda la región. Aunque se desconoce la identidad exacta de los operadores, las investigaciones sugieren que trabajan para algunas naciones y otras redes delictivas.

A lo largo de la investigación de Trickbot, se analizaron unas 61,000 muestras de este malware. Se descubrió que su alta peligrosidad se debe a que posee capacidades modulares que evolucionan constantemente, las cuales infectan a las víctimas para los propósitos de los operadores a través de un modelo de “malware como servicio”. Los operadores pueden proporcionar a sus clientes acceso a las máquinas infectadas y ofrecerles un mecanismo de distribución para muchas formas de malware, incluyendo el ransomware. Trickbot no sólo ha infectado las computadoras de los usuarios finales, sino también varios dispositivos conectados (internet de las cosas o IoT), tales como enrutadores, con lo cual ha logrado introducirse en los hogares y las organizaciones.

Además de mantener capacidades modulares para diferentes fines, los operadores se han vuelto expertos en modificar las técnicas de acuerdo con los desarrollos sociales. Las campañas de correo no deseado de Trickbot para distribuir malware han incluido temas como Black Lives Matter y COVID-19, que incitan a las personas a abrir enlaces o archivos dañinos. Con base en los datos obtenidos a través de Microsoft Office 365 Advanced Threat Detection, se detectó que Trickbot ha sido la operación de malware más prolífica en el uso de señuelos relacionados con el tema del COVID-19.

Las acciones de este día se llevaron a cabo después de que el Tribunal de Distrito de Estados Unidos para el Distrito Este de Virginia aceptara la solicitud de emitir una orden judicial para detener las operaciones de Trickbot.

Durante la investigación que respalda el caso, se identificaron detalles de la operación, incluyendo la infraestructura que Trickbot utilizó para comunicarse con las víctimas y tomar el control de sus computadoras, la manera en que las computadoras se comunican entre sí, y los mecanismos que emplea Trickbot para evitar la detección y los intentos de interrupción a sus operaciones. Debido a que se observó que las computadoras infectadas se conectan y reciben instrucciones de servidores de comando y control, se pudo identificar las direcciones de IP exactas de esos servidores. Con esas pruebas, el tribunal dio autorización a Microsoft y sus socios para deshabilitar las direcciones de IP, imposibilitar el acceso al contenido almacenado en los servidores de comando y control, suspender todos los servicios a los operadores del botnet, e impedir cualquier intento de compra o alquiler de servidores por parte de los operadores de Trickbot.

Para llevar a cabo estas acciones, Microsoft formó un grupo internacional de proveedores de telecomunicaciones y de la industria. La Unidad de Delitos Digitales (DCU, por sus siglas en inglés), dirigió los esfuerzos de investigación, incluyendo detección, análisis, telemetría e ingeniera inversa, y, para fortalecer su caso legal, empleó los datos y conocimientos adicionales del equipo de Microsoft Defender y de una red global de socios integrada por FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT y Symantec, una división de Broadcom. Las acciones para ayudar a las víctimas contarán con el apoyo de los ISP (proveedores de servicios de Internet) y los CERT (Equipos de respuesta ante emergencias informáticas) de todo el mundo.

Estas acciones también representan una nueva estrategia legal que el DCU de Microsoft está utilizando por primera vez. El caso incluye demandas de derecho de autor contra el uso malicioso de código de software propiedad de la compañía por parte de Trickbot. Esta estrategia es un desarrollo importante en los esfuerzos de detener la propagación de malware y permite iniciar una acción civil para proteger a los clientes en la gran cantidad de países donde se aplican este tipo de leyes.

“Anticipamos completamente que los operadores de Trickbot harán esfuerzos para reactivar sus operaciones, y trabajaremos con nuestros socios para monitorear sus actividades y tomar medidas legales y técnicas adicionales para detenerlos,” dijo Tom Burt,vicepresidente corporativo de seguridad y confianza del consumidor.

Impacto en otros sectores

Además de amenazar las elecciones, Trickbot es conocido por utilizar malware para atacar los sitios web bancarios y robarle dinero a las personas y a las instituciones financieras. Desde bancos globales y procesadores de pagos, hasta cooperativas de ahorro y crédito regionales, han sido víctimas de Trickbot. Por tal motivo, el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC, por sus siglas en inglés) ha sido un socio y codemandante fundamental en las acciones legales que ha emprendido Microsoft.

Cuando alguien utiliza una computadora infectada con Trickbot para ingresar al sitio web de una institución bancaria, el botnet realiza una serie de actividades para secuestrar de manera secreta el navegador web del usuario, robar las credenciales de inicio de sesión de banca en línea de la persona y otra información confidencial, y enviar esos datos a los operadores de las redes delictivas.

Las personas no se percatan de las actividades de Trickbot porque está diseñado para ocultarse. Después de que el botnet roba las credenciales de inicio de sesión y la información personal, los operadores utilizan esa información para acceder a las cuentas bancarias de las víctimas. Los usuarios realizan un inicio de sesión normal, sin advertir que se les está vigilando y robando.

Trickbot también es conocido por distribuir el ransomware de cifrado Ryuk, que se ha utilizado en ataques contra una amplia variedad de instituciones públicas y privadas. El ransomware puede tener efectos devastadores, hace poco, paralizó la red de TI de un hospital alemán, lo que provocó la muerte de una mujer que requería atención de emergencia. Ryuk es un sofisticado ransomware de cifrado que identifica y cifra los archivos en una red y desactiva Windows System Restore para impedir que las personas sin respaldos externos se recuperen del ataque. Ryuk dirige sus ataques a diferentes tipos de organizaciones, tales como gobiernos municipales, tribunales estatales, hospitales, asilos de ancianos, empresas y universidades grandes. Por ejemplo, Ryuk fue responsable de los ataques a un contratista del Departamento de Defensa de Estados Unidos, a la ciudad de Durham en Carolina del Norte, a un proveedor de informática de 110 asilos de ancianos, y a varios hospitales durante la pandemia del COVID-19.

Nueva estrategia legal

La Unidad de Delitos Digitales continuará participando en las operaciones para proteger tanto a las organizaciones involucradas en el proceso democrático como a toda la base de clientes de la compañía. Desde el 2010, Microsoft, a través de la de Unidad de Delitos Digitales, ha colaborado con agencias policiacas y otros socios en 23 interrupciones de malware y dominios de nivel nacional, lo que permitió rescatar más de 500 millones de dispositivos de manos de los delincuentes cibernéticos.

En esta acción civil, se ha empleado una nueva estrategia legal que permite aplicar la ley de derechos de autor para evitar que la infraestructura de Microsoft, en este caso su código de software se utilice para cometer delitos. Debido a que la ley de derechos de autor es más común que la ley de delitos informáticos, esta nueva estrategia es de gran ayuda para proceder penalmente contra los delincuentes en más jurisdicciones del mundo.