TrickBot

TrickBot es un malware informático, un troyano para Microsoft Windows y otros sistemas operativos,[1]​ y también es un grupo cibercriminal detrás de eso. Su función principal era originalmente el robo de datos bancarios y otras credenciales, pero sus operadores han ampliado sus capacidades para hacer un ecosistema de malware modular completo. La organización cibercriminal TrickBot es bastante grande y está bien organizada,[2]​ con supuestas conexiones con servicios de inteligencia rusos.[3]

Capacidades

TrickBot se informó por primera vez en octubre de 2016. Se propaga mediante métodos que incluyen programas ejecutables, archivos en carpetas, phishing por correo electrónico, Google Docs, y denuncias falsas sobre acoso sexual.[4]

El sitio web Bleeping Computer ha seguido la evolución de TrickBot desde sus inicios como troyano bancario. Sus artículos tratan sobre: cómo atacan PayPal y la gestión de relaciones con los clientes empresariales (CRM; junio de 2017), la adición de un gusano informático que se propaga automáticamente (julio de 2017), coinbase.com, compatibilidad con DKIM para evitar los filtros de correo electrónico, robar el historial de problemas de Windows, robar cookies (julio de 2019), control de software de seguridad como Microsoft Defender para evitar su detección y eliminación (julio de 2019), robar códigos PIN de Verizon Wireless, T-Mobile y Sprint al inyectar códigos al acceder a un sitio web (agosto de 2019); robar Claves OpenSSH y OpenVPN (noviembre de 2019), propagar malware a través de una red (enero de 2020), omitir UAC de Windows 10 y robar credenciales de Active Directory (enero de 2020), usar correos electrónicos y hacer noticias falsas de la COVID-19 (desde marzo de 2020), omitir la autenticación de dos factores de dispositivos móviles Android, comprobación de que si se está ejecutando en una máquina virtual (por expertos en antimalware; julio de 2020), infectando sistemas Linux (julio de 2020).

TrickBot puede proporcionar otro malware con acceso-como-un-servicio a los sistemas infectados, incluidos Ryuk (enero de 2019) y Conti ransomware; Se sabe que el troyano de spam Emotet instala a TrickBot (julio de 2020).

En 2021, los investigadores de IBM informaron que TrickBot había mejorado con características como un algoritmo creativo de nomenclatura mutex y un nuevo mecanismo de persistencia actualizado.[5]

Infecciones

El 27 de septiembre de 2020, los hospitales y sistemas de salud de EE.UU. fueron cerrados por un ciberataque utilizando el ransomware Ryuk. Se cree que el troyano Emotet inició la infección de la botnet enviando archivos adjuntos, en correos electrónicos maliciosos durante 2020. Después de un tiempo, instalaría TrickBot, que luego proporcionaría acceso a Ryuk.[6]

A pesar de los esfuerzos por extinguir a TrickBot, el FBI y otras dos agencias federales estadounidenses advirtieron el 29 de octubre de 2020 que tenían "información creíble sobre una amenaza cada vez mayor e inminente del cibercrimen [ransomware] para hospitales y agencias proveedoras de atención médica de EE. UU." a medida que aumentaban los casos de COVID-19. Después de los ataques del mes anterior, cinco hospitales más habían sido atacados esa semana y cientos de hospitales más eran objetivos potenciales. Ryuk, sembrado a través de TrickBot, fue el método de ataque que utilizaron.[7]

Arrestos

En agosto de 2020, el Departamento de Justicia emitió órdenes de arresto contra los actores que ejecutaban la botnet de TrickBot.[8]​ En enero de 2021, un administrador de la distribución del virus TrickBot, Emotet, fue arrestado en Ucrania.[8]​ En febrero de 2021, Max (la cual también es conocida como Alla Witte o Alla Klimova [Алла Климова]), una desarrolladora de la plataforma TrickBot y componentes de ransomware, fue arrestada.[8][9][10]

Represalias

Desde finales de septiembre de 2020, la botnet TrickBot fue atacada por lo que se cree que fue Cyber Command, una rama del Departamento de Defensa de EE.UU. y varias empresas de seguridad. Se entregó un archivo para configurar a los sistemas infectados por TrickBot que cambió la dirección del servidor de comando y control a 127.0.0.1 (localhost, una dirección que no puede acceder a Internet). Igualmente, los esfuerzos comenzaron varios meses antes, con varias acciones disruptivas. El proyecto que hicieron, tiene como objetivo lograr hacer efectos a largo plazo, recopilando y analizando cuidadosamente datos de la botnet. Un número no revelado de servidores C2 también fueron desactivados mediante procedimientos legales para cortar su comunicación con los bots a nivel del proveedor de alojamiento. La acción comenzó después de que el Tribunal de Distrito de EE.UU. para el Distrito Este de Virginia aceptara la solicitud por parte de Microsoft sobre una orden judicial para detener la actividad de TrickBot. El esfuerzo técnico requerido es grande; Como parte del ataque, los sistemas automáticos de ESET examinaron más de 125.000 muestras sobre TrickBot, con más de 40.000 archivos para configurar al menos 28 complementos individuales utilizados por el malware para robar contraseñas, modificar el tráfico o autopropagarse.

Los ataques perturbarían significativamente al TrickBot, pero tiene mecanismos alternativos para recuperar con dificultad, las computadoras eliminadas de la botnet. Se informó que hubo una interrupción a corto plazo, pero la botnet se recuperó rápidamente debido a que su infraestructura quedó totalmente intacta.[11][12][13]

El gobierno de EE.UU. consideró que el ransomware era una gran amenaza para las elecciones estadounidenses de 2020, ya que los ataques pueden robar o cifrar información de los votantes y resultados electorales, y afectar los sistemas electorales haciendo que gane uno u otro, o que directamente se interfiera todo.

El 20 de octubre de 2020, un mensaje de seguridad en el sitio web de Bleeping Computer informó que la operación TrickBot estaba "a punto de cerrarse por completo luego de los esfuerzos de una alianza con los proveedores de ciberseguridad y alojamiento contra los servidores de comando y control de la botnet", después de las relativamente ineficaces acciones disruptivas a principios de mes. Una coalición encabezada por la Unidad de Delitos Digitales (UDD o DCU, en inglés) de Microsoft tuvo un gran impacto, aunque TrickBot siguió infectando muchos más ordenadores. El 18 de octubre, Microsoft declaró que el 94% de la infraestructura operativa crítica de TrickBot (120 de 128 servidores) había sido totalmente exterminada/eliminada. Algunos servidores de TrickBot permanecieron activos en Brasil, Colombia, Indonesia y Kirguistán. Se requiere una acción constante, tanto técnica como legal, para evitar que TrickBot vuelva a surgir debido a que su arquitectura es única. Aunque no habían pruebas de que TrickBot tuviera como objetivo potencial o no, las elecciones estadounidenses del 3 de noviembre de 2020, continuaron intensos esfuerzos hasta aquella fecha.[14]

Referencias

  1. «Advisory: TrickBot». www.ncsc.gov.uk (en inglés). Consultado el 13 de octubre de 2020. 
  2. Wrieden, Joe (14 de julio de 2022). «Who is TrickBot? - Analysis of the TrickBot Leaks». Cyjax (en inglés). Consultado el 20 de julio de 2022. 
  3. Robert McMillan (28 de mayo de 2022). «Secret World of Pro-Russia Hacking Group Exposed in Leak». The Wall Street Journal (en inglés). 
  4. Gatlan, Sergiu (11 de noviembre de 2019). «TrickBot Malware Uses Fake Sexual Harassment Complaints as Bait». BleepingComputer (en inglés). 
  5. «Is It Impossible To Take Down TrickBot Permanently?». The Hack Report (en inglés estadounidense). 2 de febrero de 2021. Consultado el 14 de abril de 2021. 
  6. Gatlan, Sergiu (28 de septiembre de 2020). «UHS hospitals hit by reported country-wide Ryuk ransomware attack». BleepingComputer (en inglés). 
  7. Staff and agencies (19 de octubre de 2020). «US hospital systems facing 'imminent' threat of cyber attacks, FBI warns». The Guardian (en inglés). 
  8. a b c «TrickBot Gang Arrest – Story of Alla Witte». Hold Security (en inglés). Archivado desde el original el 8 de junio de 2021. Consultado el 2 de julio de 2022. 
  9. Seals, Tara (8 de julio de 2022). «TrickBot Coder Faces Decades in Prison». threat post (en inglés). Archivado desde el original el 8 de junio de 2021. Consultado el 2 de julio de 2022. 
  10. «Latvian National Charged for Alleged Role in Transnational Cybercrime Organization». justice.gov (en inglés). 4 de junio de 2021. Archivado desde el original el 08/06/2022. 
  11. Ilascu, Ionut (12 de octubre de 2020). «TrickBot botnet targeted in takedown operations, little impact seen». BleepingComputer (en inglés). 
  12. «TrickBot disrupted». Microsoft Security (en inglés estadounidense). 12 de octubre de 2020. Consultado el 13 de octubre de 2020. 
  13. Greene, Jay. «Microsoft seeks to disrupt Russian criminal botnet it fears could seek to sow confusion in the presidential election». Washington Post (en inglés estadounidense). ISSN 0190-8286. Consultado el 13 de octubre de 2020. 
  14. Ilascu, Ionut (20 de octubre de 2020). «TrickBot malware under siege from all sides, and it's working». BleepingComputer (en inglés).