Microsoft остановила действие ботнет-сети, заразившей компьютеры по всему миру программами-вымогателями

Незаконная ботнет-сеть, которая использовалась для заражения миллионов компьютеров программами-вымогателями, была обнаружена и обезврежена Microsoft.

В понедельник компания объявила, что вместе с поставщиками телекоммуникационных услуг по всему миру она смогла отключить инфраструктуру, используемую ботнетом Trickbot, чтобы ее больше нельзя было использовать для новых заражений или активации программ-вымогателей, уже установленных в компьютерных системах.

Корпоративный вице-президент Microsoft по вопросам безопасности и доверия клиентов Том Берт отметил в блоге компании, что правительство США и независимые эксперты предупредили, что программы-вымогатели представляют собой одну из самых серьезных угроз для предстоящих выборов.

"Злоумышленники могут использовать программы-вымогатели, чтобы заразить компьютерную систему, используемую для ведения списков избирателей или составления отчетов о результатах голосования в ночь на выборы, захватив эти системы в установленный час, оптимизированный для того, чтобы сеять хаос и недоверие", - написал Берт.

"Помимо защиты избирательной инфраструктуры от атак программ-вымогателей, - добавил он, - сегодняшние действия защитят широкий круг организаций, включая финансовые учреждения, государственные и медицинские учреждения, предприятия и университеты, от различных вредоносных программ, которые использует Trickbot".

Возможная и реальная угроза

Удаление ботнета Trickbot немедленно и резко снижает продолжающийся ущерб, причиняемый вредоносной сетью, заметил Мэтт Эшберн, глава стратегических инициатив Authentic8, производителя облачного веб-браузера.

Хотя у Trickbot есть возможность сорвать выборы в США, реальная угроза может быть менее серьезной, чем утверждается. "Мы не видели, чтобы Trickbot каким-либо образом мог угрожать выборам в США", - заявил Жан-Ян Бутин, руководитель отдела исследования угроз компании Eset, занимающейся безопасностью информационных технологий.

"Хотя мы не наблюдаем каких-либо побуждений этих злоумышленников идти после выборов, потенциал существует из-за размера ботнета", - добавил Викрам Такур, технический директор Symantec, подразделения Broadcom.

"Угроза исходит от того, что Trickbot распространяет программы-вымогатели на компьютеры, которые могут быть связаны с выборами", - сказал он TechNewsWorld.

Вредоносное ПО как услуга

Берт из Microsoft отметил, что с 2016 года Trickbot заразил более миллиона компьютеров. "Хотя точная личность операторов неизвестна, исследования показывают, что они служат как национальным государствам, так и криминальным сетям для различных целей", - добавил он.

"Что делает его настолько опасным, так это то, что он имеет модульные возможности, которые постоянно развиваются, заражая жертв для целей операторов с помощью модели "вредоносное ПО как услуга", - пояснил он.

"Его операторы могут предоставить своим клиентам доступ к зараженным машинам и предложить им механизм доставки для многих форм вредоносных программ, включая программы-вымогатели", - продолжил он.

Берт также написал, что помимо заражения компьютеров конечных пользователей, Trickbot также заразил ряд устройств Интернета вещей, таких как маршрутизаторы, что расширило влияние Trickbot на домохозяйства и организации.

"Вредоносное ПО как услуга может быть благом для менее опытных хакеров", - утверждает Джек Маннино, генеральный директор nVisium, поставщика безопасности приложений. "Это снижает сложность обслуживания инфраструктуры программ-вымогателей и проведения атак, выравнивая правила игры для менее опытных противников", - заявил он в интервью.

Остин Мерритт, аналитик по киберугрозам компании Digital Shadows, поставщика решений для защиты от цифровых рисков, добавил, что программа-вымогатель как услуга (RaaS) дает злоумышленникам все преимущества обычной атаки вымогателя без необходимости писать свой код.

"По сути, - говорит он, - это снижает входной барьер для киберпреступников в сфере программ-вымогателей".

Это также приносит деньги своим авторам. "Вы продаете услугу подписки, как и любой другой поставщик SaaS, и зарабатываете на этом деньги", - заметила Карен Уолш, директор Allegro Solutions, маркетинговой компании по кибербезопасности.

"Это низкий объем капитала при высоком доходе", - сказал он. "В 2018 году киберпреступность как услуга принесла 1,6 миллиарда долларов США".

Другие ботнет-сети

Есть и другие бот-сети разработаны аналогично Trickbot, но они не имеют такого широкого охвата, отмечает Джон Хаммонд, старший исследователь безопасности в Huntress Labs, компании по обнаружению угроз и разведке.

"Он распространяется с помощью злонамеренных спамерских кампаний с очень изощренной торговой маркой, выдавая себя за доверенных третьих лиц, таких как Microsoft и другие официальные источники", - говорит эксперт.

Он добавил, что ботсеть устанавливает свой дистрибутив на локальном компьютере, чтобы злоумышленники могли поддерживать свой доступ и продолжать свои операции. "Это дает злоумышленникам гибкость с помощью канала управления и контроля для развертывания программ-вымогателей или дальнейшего разрушения", - пояснил Хаммонд.

Модульная конструкция ботсети также способствует гибкости ботнета, позволяя удаленно обновлять себя и добавлять функции. "Эта возможность - одна из причин, по которой она так популярна среди киберпреступников, - сказал Мерритт из Digital Shadows. "Его можно настраивать и развивать, чтобы сделать более эффективным и прибыльным".

Способы защиты

Берт отметил, что Microsoft предприняла новую юридическую попытку закрыть Trickbot.

"Наше дело включает иски о нарушении авторских прав против злонамеренного использования Trickbot нашего программного кода", - написал он. "Этот подход является важным шагом в наших усилиях по предотвращению распространения вредоносных программ, позволяя нам принимать юридические шаги для защиты клиентов в большем количестве стран по всему миру, в которых действуют эти законы".

Марк Кедгли, технический директор New Net Technologies, поставщика программного обеспечения для IT-безопасности и соблюдения нормативных требований, высоко оценил стратегию Microsoft.

Мерритт добавил, что эта стратегия может стать эффективным способом предотвращения распространения вредоносных программ, особенно с помощью правоохранительных органов. "Гражданский иск может защитить клиентов во многих странах по всему миру, где действуют законы об авторском праве", - утверждает он.

Независимо от того, как разработчики Trickbot отреагируют на действия Microsoft, они поднимут моральный дух среди изнуренных защитников корпоративных систем.

"Недавнее распространение программ-вымогателей привело к тому, что защитники изо всех сил стараются не отставать и задаются вопросом, как остановить этих операторов", - отмечает Кэти Никелс, директор по разведке Red Canary, поставщика облачных услуг безопасности.

"Защитникам, которые борются с операторами программ-вымогателей каждый день, - сказала она, - очень приятно видеть действия, которые потенциально могут сдержать некоторых злоумышленников"

Microsoft Доллар Правительство Правоохранители Университеты