Microsoft остановила действие ботнет-сети, заразившей компьютеры по всему миру программами-вымогателями
Незаконная ботнет-сеть, которая использовалась для заражения миллионов компьютеров программами-вымогателями, была обнаружена и обезврежена Microsoft.
В понедельник компания объявила, что вместе с поставщиками телекоммуникационных услуг по всему миру она смогла отключить инфраструктуру, используемую ботнетом Trickbot, чтобы ее больше нельзя было использовать для новых заражений или активации программ-вымогателей, уже установленных в компьютерных системах.
Корпоративный вице-президент Microsoft по вопросам безопасности и доверия клиентов Том Берт отметил в блоге компании, что правительство США и независимые эксперты предупредили, что программы-вымогатели представляют собой одну из самых серьезных угроз для предстоящих выборов.
«Злоумышленники могут использовать программы-вымогатели, чтобы заразить компьютерную систему, используемую для ведения списков избирателей или составления отчетов о результатах голосования в ночь на выборы, захватив эти системы в установленный час, оптимизированный для того, чтобы сеять хаос и недоверие», — написал Берт.
«Помимо защиты избирательной инфраструктуры от атак программ-вымогателей, — добавил он, — сегодняшние действия защитят широкий круг организаций, включая финансовые учреждения, государственные и медицинские учреждения, предприятия и университеты, от различных вредоносных программ, которые использует Trickbot».
Возможная и реальная угроза
Удаление ботнета Trickbot немедленно и резко снижает продолжающийся ущерб, причиняемый вредоносной сетью, заметил Мэтт Эшберн, глава стратегических инициатив Authentic8 , производителя облачного веб-браузера.
Хотя у Trickbot есть возможность сорвать выборы в США, реальная угроза может быть менее серьезной, чем утверждается. «Мы не видели, чтобы Trickbot каким-либо образом мог угрожать выборам в США» , — заявил Жан-Ян Бутин, руководитель отдела исследования угроз компании Eset , занимающейся безопасностью информационных технологий.
«Хотя мы не наблюдаем каких-либо побуждений этих злоумышленников идти после выборов, потенциал существует из-за размера ботнета», — добавил Викрам Такур, технический директор Symantec, подразделения Broadcom.
«Угроза исходит от того, что Trickbot распространяет программы-вымогатели на компьютеры, которые могут быть связаны с выборами», — сказал он TechNewsWorld.
Вредоносное ПО как услуга
Берт из Microsoft отметил, что с 2016 года Trickbot заразил более миллиона компьютеров. «Хотя точная личность операторов неизвестна, исследования показывают, что они служат как национальным государствам, так и криминальным сетям для различных целей», — добавил он.
«Что делает его настолько опасным, так это то, что он имеет модульные возможности, которые постоянно развиваются, заражая жертв для целей операторов с помощью модели «вредоносное ПО как услуга», — пояснил он.
«Его операторы могут предоставить своим клиентам доступ к зараженным машинам и предложить им механизм доставки для многих форм вредоносных программ, включая программы-вымогатели», — продолжил он.
Берт также написал, что помимо заражения компьютеров конечных пользователей, Trickbot также заразил ряд устройств Интернета вещей, таких как маршрутизаторы, что расширило влияние Trickbot на домохозяйства и организации.
«Вредоносное ПО как услуга может быть благом для менее опытных хакеров», — утверждает Джек Маннино, генеральный директор nVisium , поставщика безопасности приложений. «Это снижает сложность обслуживания инфраструктуры программ-вымогателей и проведения атак, выравнивая правила игры для менее опытных противников», — заявил он в интервью.
Остин Мерритт, аналитик по киберугрозам компании Digital Shadows , поставщика решений для защиты от цифровых рисков, добавил, что программа-вымогатель как услуга (RaaS) дает злоумышленникам все преимущества обычной атаки вымогателя без необходимости писать свой код.
«По сути, — говорит он, — это снижает входной барьер для киберпреступников в сфере программ-вымогателей».
Это также приносит деньги своим авторам. «Вы продаете услугу подписки, как и любой другой поставщик SaaS, и зарабатываете на этом деньги», — заметила Карен Уолш, директор Allegro Solutions , маркетинговой компании по кибербезопасности.
«Это низкий объем капитала при высоком доходе», — сказал он. «В 2018 году киберпреступность как услуга принесла 1,6 миллиарда долларов США».
Другие ботнет-сети
Есть и другие бот-сети разработаны аналогично Trickbot, но они не имеют такого широкого охвата, отмечает Джон Хаммонд, старший исследователь безопасности в Huntress Labs , компании по обнаружению угроз и разведке.
«Он распространяется с помощью злонамеренных спамерских кампаний с очень изощренной торговой маркой, выдавая себя за доверенных третьих лиц, таких как Microsoft и другие официальные источники», — говорит эксперт.
Он добавил, что ботсеть устанавливает свой дистрибутив на локальном компьютере, чтобы злоумышленники могли поддерживать свой доступ и продолжать свои операции. «Это дает злоумышленникам гибкость с помощью канала управления и контроля для развертывания программ-вымогателей или дальнейшего разрушения», — пояснил Хаммонд.
Модульная конструкция ботсети также способствует гибкости ботнета, позволяя удаленно обновлять себя и добавлять функции. «Эта возможность — одна из причин, по которой она так популярна среди киберпреступников, — сказал Мерритт из Digital Shadows. «Его можно настраивать и развивать, чтобы сделать более эффективным и прибыльным».
Способы защиты
Берт отметил, что Microsoft предприняла новую юридическую попытку закрыть Trickbot.
«Наше дело включает иски о нарушении авторских прав против злонамеренного использования Trickbot нашего программного кода», — написал он. «Этот подход является важным шагом в наших усилиях по предотвращению распространения вредоносных программ, позволяя нам принимать юридические шаги для защиты клиентов в большем количестве стран по всему миру, в которых действуют эти законы».
Марк Кедгли, технический директор New Net Technologies, поставщика программного обеспечения для IT-безопасности и соблюдения нормативных требований, высоко оценил стратегию Microsoft.
Мерритт добавил, что эта стратегия может стать эффективным способом предотвращения распространения вредоносных программ, особенно с помощью правоохранительных органов. «Гражданский иск может защитить клиентов во многих странах по всему миру, где действуют законы об авторском праве», — утверждает он.
Независимо от того, как разработчики Trickbot отреагируют на действия Microsoft, они поднимут моральный дух среди изнуренных защитников корпоративных систем.
«Недавнее распространение программ-вымогателей привело к тому, что защитники изо всех сил стараются не отставать и задаются вопросом, как остановить этих операторов», — отмечает Кэти Никелс, директор по разведке Red Canary, поставщика облачных услуг безопасности.
«Защитникам, которые борются с операторами программ-вымогателей каждый день, — сказала она, — очень приятно видеть действия, которые потенциально могут сдержать некоторых злоумышленников»
По материалам: Technewsworld