Eksperci ESET wzięli udział w zorganizowanej operacji, mającej na celu zakłócić działanie botnetu Trickbot. W ciągu ostatnich czterech lat atakował on komputery użytkowników na całym świecie, kradnąc ich dane i umożliwiając dalszą infekcję ransomware, stając się w ten sposób jednym z największych zagrożeń występujących w Internecie.
W globalnej operacji wymierzonej przeciwko botnetowi TrickBot udział wziął zespół złożony z ekspertów ds. cyberbezpieczeństwa takich firm, jak m.in. ESET, Microsoft, Black Lotus Labs i NTT. W ramach skoordynowanych działań udało się zakłócić działanie botnetu, odcinając dostęp do jego serwerów sterujących. Udział ekspertów ESET w przedsięwzięciu polegał na dostarczeniu szczegółowej analizy technicznej na temat zagrożenia wraz ze szczegółowymi danymi telemetrycznymi oraz informacjami o serwerach wykorzystywanych przez przestępców.
TrickBot – zarówno jako botnet, jak i wirus o tej samej nazwie – pozostaje aktywny od 2016 roku. Swoją historię zaczął jako trojan bankowy, wykorzystywany do kradzieży danych i atakujący przede wszystkim instytucje finansowe. Na przestrzeni lat przeszedł on jednak znaczną ewolucję i poszerzył spektrum swoich możliwości. W ostatnim czasie wykorzystywany był przede wszystkim do pobierania na zainfekowane komputery oprogramowania ransomware. O skali zagrożenia świadczy także liczba infekowanych przez niego komputerów. Tylko od początku 2020 roku platforma do monitorowania sieci botnet firmy ESET przeanalizowała ponad 125 tysięcy powiązanych z nim złośliwych próbek, zawierających ponad 40 tysięcy różnych plików konfiguracyjnych, wykorzystywanych przez jego poszczególne moduły, dając pogląd na działanie całej sieci botnetu.
– Próba powstrzymania tego groźnego zagrożenia okazała się poważnym wyzwaniem. Przestępcy stosowali w swojej sieci szereg rozwiązań awaryjnych, a powiązania z innymi grupami cyberprzestępczymi, czyniło całą operację szalenie skomplikowaną – tłumaczy Jean-Ian Boutin, kierownik ds. badań nad zagrożeniami w ESET.