DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Liên minh công nghệ đánh sập botnet TrickBot lây nhiễm hơn 1 triệu máy tính
Liên minh các công ty công nghệ vừa công bố đã đánh sập cơ sở hạ tầng của mạng botnet phần mềm độc hại TrickBot.
Các công ty và tổ chức thuộc liên mình bao gồm nhóm Defender của Microsoft, FS-ISAC, ESET, phòng thí nghiệm Black Lotus của Lumen, NTT và bộ phận an ninh mạng Symantec của Broadcom.
Trước khi đánh sập, liên minh này đã tiến hành điều tra cơ sở hạ tầng của máy chủ và mô-đun phần mềm độc hại TrickBot.
Microsoft, ESET, Symantec và các đối tác mất nhiều tháng để thu thập hơn 125.000 mẫu phần mềm độc hại TrickBot, phân tích, trích xuất và lập bản đồ thông tin về hoạt động bên trong của phần mềm độc hại, bao gồm tất cả các máy chủ mà mạng botnet sử dụng để kiểm soát máy tính bị nhiễm và triển khai các mô-đun bổ sung.
Với thông tin thông tin thu thập được, Microsoft đã đệ trình lên tòa án để được cấp quyền kiểm soát các máy chủ TrickBot.
Microsoft cho biết:
Các nhà cung cấp dịch vụ internet (ISP) và Trung tâm ứng cứu Khẩn cấp máy tính (CERT) trên toàn thế giới hiện đang nỗ lực để thông báo cho tất cả người dùng bị nhiễm.
Theo các thành viên của liên minh, mạng botnet TrickBot đã lây nhiễm hơn một triệu máy tính vào thời điểm bị đánh sập. Các hệ thống bị nhiễm bao gồm các thiết bị Internet of Things (IoT). TrickBot là một trong những mạng botnet lớn nhất hiện nay.
Phần mềm độc hại này lần đầu tiên xuất hiện vào năm 2016 dưới dạng trojan ngân hàng trước khi trở thành một trình tải xuống phần mềm độc hại nhằm lây nhiễm hệ thống và cung cấp quyền truy cập cho các nhóm tội phạm khác bằng mô hình kinh doanh (mua bán, cho thuê phần mềm độc hại) được gọi là MaaS (Malware-as-a-Service).
Cùng với Emotet, TrickBot là một trong những nền tảng MaaS hoạt động tích cực nhất hiện nay, thường cho các băng đảng ransomware như Ryuk và Conti thuê quyền truy cập vào các máy tính bị nhiễm mã độc.
Tuy nhiên, Trickbot cũng triển khai trojan ngân hàng và trojan đánh cắp thông tin (infostealer), đồng thời cấp quyền truy cập vào mạng công ty cho những kẻ lừa đảo BEC, các băng nhóm gián điệp công nghiệp và các nhóm tin tặc được nhà nước chống lưng.
Đây là mạng botnet phần mềm độc hại lớn thứ hai đã bị đánh sập trong năm nay sau mạng botnet Necurs vào tháng 3/2020.
Tuy nhiên, thành công của việc đánh sập mạng botnet này vẫn chưa được kiểm chứng. Nhiều mạng botnet khác đã sống sót sau những vụ triệt hạ tương tự trong quá khứ. Ví dụ điển hình cho điều này là mạng botnet Kelihos, đã tiếp tục hoạt động trở lại sau ba lần bị đánh sập, xây dựng lại từ đầu và tiếp tục hoạt động.
Các công ty và tổ chức thuộc liên mình bao gồm nhóm Defender của Microsoft, FS-ISAC, ESET, phòng thí nghiệm Black Lotus của Lumen, NTT và bộ phận an ninh mạng Symantec của Broadcom.
Trước khi đánh sập, liên minh này đã tiến hành điều tra cơ sở hạ tầng của máy chủ và mô-đun phần mềm độc hại TrickBot.
Microsoft, ESET, Symantec và các đối tác mất nhiều tháng để thu thập hơn 125.000 mẫu phần mềm độc hại TrickBot, phân tích, trích xuất và lập bản đồ thông tin về hoạt động bên trong của phần mềm độc hại, bao gồm tất cả các máy chủ mà mạng botnet sử dụng để kiểm soát máy tính bị nhiễm và triển khai các mô-đun bổ sung.
Với thông tin thông tin thu thập được, Microsoft đã đệ trình lên tòa án để được cấp quyền kiểm soát các máy chủ TrickBot.
Microsoft cho biết:
"Với bằng chứng này, tòa án đã chấp thuận cho Microsoft và các đối tác của chúng tôi vô hiệu hóa địa chỉ IP khiến nội dung được lưu trữ trên các máy chủ C&C không thể truy cập được, tạm ngưng tất cả các dịch vụ đối với các nhà khai thác mạng botnet và chặn mọi nỗ lực mua hoặc cho thuê thêm máy chủ của các tin tặc khai thác TrickBot.”
Các nhà cung cấp dịch vụ internet (ISP) và Trung tâm ứng cứu Khẩn cấp máy tính (CERT) trên toàn thế giới hiện đang nỗ lực để thông báo cho tất cả người dùng bị nhiễm.
Theo các thành viên của liên minh, mạng botnet TrickBot đã lây nhiễm hơn một triệu máy tính vào thời điểm bị đánh sập. Các hệ thống bị nhiễm bao gồm các thiết bị Internet of Things (IoT). TrickBot là một trong những mạng botnet lớn nhất hiện nay.
Phần mềm độc hại này lần đầu tiên xuất hiện vào năm 2016 dưới dạng trojan ngân hàng trước khi trở thành một trình tải xuống phần mềm độc hại nhằm lây nhiễm hệ thống và cung cấp quyền truy cập cho các nhóm tội phạm khác bằng mô hình kinh doanh (mua bán, cho thuê phần mềm độc hại) được gọi là MaaS (Malware-as-a-Service).
Cùng với Emotet, TrickBot là một trong những nền tảng MaaS hoạt động tích cực nhất hiện nay, thường cho các băng đảng ransomware như Ryuk và Conti thuê quyền truy cập vào các máy tính bị nhiễm mã độc.
Tuy nhiên, Trickbot cũng triển khai trojan ngân hàng và trojan đánh cắp thông tin (infostealer), đồng thời cấp quyền truy cập vào mạng công ty cho những kẻ lừa đảo BEC, các băng nhóm gián điệp công nghiệp và các nhóm tin tặc được nhà nước chống lưng.
Đây là mạng botnet phần mềm độc hại lớn thứ hai đã bị đánh sập trong năm nay sau mạng botnet Necurs vào tháng 3/2020.
Tuy nhiên, thành công của việc đánh sập mạng botnet này vẫn chưa được kiểm chứng. Nhiều mạng botnet khác đã sống sót sau những vụ triệt hạ tương tự trong quá khứ. Ví dụ điển hình cho điều này là mạng botnet Kelihos, đã tiếp tục hoạt động trở lại sau ba lần bị đánh sập, xây dựng lại từ đầu và tiếp tục hoạt động.
Theo: ZDNet