Aa Aa Aa

Microsoft остановила действие ботнет-сети, заразившей компьютеры по всему миру программами-вымогателями

Романов Роман
Microsoft остановила действие ботнет-сети, заразившей компьютеры по всему миру программами-вымогателями

Незаконная ботнет-сеть, которая использовалась для заражения миллионов компьютеров программами-вымогателями, была обнаружена и обезврежена Microsoft.

В понедельник компания объявила, что вместе с поставщиками телекоммуникационных услуг по всему миру она смогла отключить инфраструктуру, используемую ботнетом Trickbot, чтобы ее больше нельзя было использовать для новых заражений или активации программ-вымогателей, уже установленных в компьютерных системах.

Корпоративный вице-президент Microsoft по вопросам безопасности и доверия клиентов Том Берт отметил в блоге компании, что правительство США и независимые эксперты предупредили, что программы-вымогатели представляют собой одну из самых серьезных угроз для предстоящих выборов.

«Злоумышленники могут использовать программы-вымогатели, чтобы заразить компьютерную систему, используемую для ведения списков избирателей или составления отчетов о результатах голосования в ночь на выборы, захватив эти системы в установленный час, оптимизированный для того, чтобы сеять хаос и недоверие», - написал Берт.

«Помимо защиты избирательной инфраструктуры от атак программ-вымогателей, - добавил он, - сегодняшние действия защитят широкий круг организаций, включая финансовые учреждения, государственные и медицинские учреждения, предприятия и университеты, от различных вредоносных программ, которые использует Trickbot».

Возможная и реальная угроза

Удаление ботнета Trickbot немедленно и резко снижает продолжающийся ущерб, причиняемый вредоносной сетью, заметил Мэтт Эшберн, глава стратегических инициатив Authentic8 , производителя облачного веб-браузера.

Хотя у Trickbot есть возможность сорвать выборы в США, реальная угроза может быть менее серьезной, чем утверждается. «Мы не видели, чтобы Trickbot каким-либо образом мог угрожать выборам в США» , - заявил Жан-Ян Бутин, руководитель отдела исследования угроз компании Eset , занимающейся безопасностью информационных технологий.

«Хотя мы не наблюдаем каких-либо побуждений этих злоумышленников идти после выборов, потенциал существует из-за размера ботнета», - добавил Викрам Такур, технический директор Symantec, подразделения Broadcom.

«Угроза исходит от того, что Trickbot распространяет программы-вымогатели на компьютеры, которые могут быть связаны с выборами», - сказал он TechNewsWorld.

Вредоносное ПО как услуга

Берт из Microsoft отметил, что с 2016 года Trickbot заразил более миллиона компьютеров. «Хотя точная личность операторов неизвестна, исследования показывают, что они служат как национальным государствам, так и криминальным сетям для различных целей», - добавил он.

«Что делает его настолько опасным, так это то, что он имеет модульные возможности, которые постоянно развиваются, заражая жертв для целей операторов с помощью модели «вредоносное ПО как услуга», - пояснил он.

«Его операторы могут предоставить своим клиентам доступ к зараженным машинам и предложить им механизм доставки для многих форм вредоносных программ, включая программы-вымогатели», - продолжил он.

Берт также написал, что помимо заражения компьютеров конечных пользователей, Trickbot также заразил ряд устройств Интернета вещей, таких как маршрутизаторы, что расширило влияние Trickbot на домохозяйства и организации.

«Вредоносное ПО как услуга может быть благом для менее опытных хакеров», - утверждает Джек Маннино, генеральный директор nVisium , поставщика безопасности приложений. «Это снижает сложность обслуживания инфраструктуры программ-вымогателей и проведения атак, выравнивая правила игры для менее опытных противников», - заявил он в интервью.

Остин Мерритт, аналитик по киберугрозам компании Digital Shadows , поставщика решений для защиты от цифровых рисков, добавил, что программа-вымогатель как услуга (RaaS) дает злоумышленникам все преимущества обычной атаки вымогателя без необходимости писать свой код.

«По сути, - говорит он, - это снижает входной барьер для киберпреступников в сфере программ-вымогателей».

Это также приносит деньги своим авторам. «Вы продаете услугу подписки, как и любой другой поставщик SaaS, и зарабатываете на этом деньги», - заметила Карен Уолш, директор Allegro Solutions , маркетинговой компании по кибербезопасности.

«Это низкий объем капитала при высоком доходе», - сказал он. «В 2018 году киберпреступность как услуга принесла 1,6 миллиарда долларов США».

Другие ботнет-сети

Есть и другие бот-сети разработаны аналогично Trickbot, но они не имеют такого широкого охвата, отмечает Джон Хаммонд, старший исследователь безопасности в Huntress Labs , компании по обнаружению угроз и разведке.

«Он распространяется с помощью злонамеренных спамерских кампаний с очень изощренной торговой маркой, выдавая себя за доверенных третьих лиц, таких как Microsoft и другие официальные источники», - говорит эксперт.

Он добавил, что ботсеть устанавливает свой дистрибутив на локальном компьютере, чтобы злоумышленники могли поддерживать свой доступ и продолжать свои операции. «Это дает злоумышленникам гибкость с помощью канала управления и контроля для развертывания программ-вымогателей или дальнейшего разрушения», - пояснил Хаммонд.

Модульная конструкция ботсети также способствует гибкости ботнета, позволяя удаленно обновлять себя и добавлять функции. «Эта возможность - одна из причин, по которой она так популярна среди киберпреступников, - сказал Мерритт из Digital Shadows. «Его можно настраивать и развивать, чтобы сделать более эффективным и прибыльным».

Способы защиты

Берт отметил, что Microsoft предприняла новую юридическую попытку закрыть Trickbot.

«Наше дело включает иски о нарушении авторских прав против злонамеренного использования Trickbot нашего программного кода», - написал он. «Этот подход является важным шагом в наших усилиях по предотвращению распространения вредоносных программ, позволяя нам принимать юридические шаги для защиты клиентов в большем количестве стран по всему миру, в которых действуют эти законы».

Марк Кедгли, технический директор New Net Technologies, поставщика программного обеспечения для IT-безопасности и соблюдения нормативных требований, высоко оценил стратегию Microsoft.

Мерритт добавил, что эта стратегия может стать эффективным способом предотвращения распространения вредоносных программ, особенно с помощью правоохранительных органов. «Гражданский иск может защитить клиентов во многих странах по всему миру, где действуют законы об авторском праве», - утверждает он.

Независимо от того, как разработчики Trickbot отреагируют на действия Microsoft, они поднимут моральный дух среди изнуренных защитников корпоративных систем.

«Недавнее распространение программ-вымогателей привело к тому, что защитники изо всех сил стараются не отставать и задаются вопросом, как остановить этих операторов», - отмечает Кэти Никелс, директор по разведке Red Canary, поставщика облачных услуг безопасности.

«Защитникам, которые борются с операторами программ-вымогателей каждый день, - сказала она, - очень приятно видеть действия, которые потенциально могут сдержать некоторых злоумышленников»

По материалам: Technewsworld