Como respuesta a la preocupación del gobierno de Estados Unidos y los
expertos independientes por la gran amenaza que representa el ransomware en las
próximas elecciones; a través de una orden judicial, Microsoft aplica medidas
técnicas en colaboración con proveedores de telecomunicaciones de todo el mundo
para interrumpir las operaciones de un botnet llamado Trickbot, uno de los
botnets y distribuidores prolíficos de ransomware más conocidos y que ha
impactado 1 millón de víctimas en todo el mundo desde finales de 2016. La
compañía ha aislado la infraestructura principal, de modo que los operadores de
Trickbot no podrán iniciar infecciones nuevas ni activar el ransomware que ya
se encuentra instalado en los sistemas de cómputo.
Los adversarios pueden utilizar el ransomware para infectar los
sistemas de cómputo que se utilizan para mantener los padrones electorales o
reportar los resultados la noche de las elecciones, y apoderarse de esos
sistemas a una hora determinada para sembrar caos y desconfianza. Además de
proteger la infraestructura de las elecciones contra los ataques de ransomware,
las medidas implementadas por Microsoft el día de hoy, protegerán a una amplia
variedad de organizaciones, tales como instituciones de servicios financieros,
agencias gubernamentales, centros de salud, empresas y universidades, contra las
diferentes infecciones de malware provocadas por Trickbot.
El Trickbot botnet
Microsoft y sus socios (ISPs y CERTs locales) pudieron identificar que
parte de la infraestructura criminal estaba ubicada en Argentina, Brasil,
Colombia, Ecuador, Paraguay Uruguay afectando los dispositivos de IoT en toda
la región. Aunque se desconoce la identidad exacta de los operadores, las
investigaciones sugieren que trabajan para las redes de los Estados Nación y
otras redes delictivas para una variedad de objetivos.
A lo largo de la investigación de Trickbot, se analizaron unas 61,000
muestras de este malware. Se descubrió que su alta peligrosidad se debe a que
posee capacidades modulares que evolucionan constantemente, las cuales infectan
a las víctimas para los propósitos de los operadores a través de un modelo de
“malware como servicio”. Los operadores pueden proporcionar a sus clientes
acceso a las máquinas infectadas y ofrecerles un mecanismo de distribución para
muchas formas de malware, incluyendo el ransomware. Trickbot no sólo ha
infectado las computadoras de los usuarios finales, sino también varios
dispositivos del “Internet de las Cosas”, tales como enrutadores, con lo cual
ha logrado introducirse en los hogares y las organizaciones.
Además de mantener capacidades modulares para diferentes fines, los
operadores se han vuelto expertos en modificar las técnicas de acuerdo con los
desarrollos sociales. Las campañas de spear phishing y correo no deseado de
Trickbot para distribuir malware han incluido temas como Black Lives Matter y
COVID-19, que incitan a las personas a abrir enlaces o archivos dañinos. Con
base en los datos obtenidos a través de Microsoft Office 365 Advanced Threat
Detection, se detectó que Trickbot ha sido la operación de malware más
prolífica en el uso de señuelos relacionados con el tema del COVID-19.
Componentes de interrupción y nueva estrategia legal
Las acciones de este día se llevaron a cabo después de que el Tribunal
de Distrito de los Estados Unidos para el Distrito Este de Virginia aceptara la
solicitud de emitir una orden judicial para detener las operaciones de
Trickbot.
Durante la investigación que respalda el caso, se identificaron
detalles de la operación, incluyendo la infraestructura que Trickbot utilizó
para comunicarse con las víctimas y tomar el control de sus computadoras, la
manera en que las computadoras se comunican entre sí, y los mecanismos que
emplea Trickbot para evitar la detección y los intentos de interrupción a sus
operaciones. Debido a que se observó que las computadoras infectadas se
conectan y reciben instrucciones de servidores de comando y control, se pudo
identificar las direcciones de IP exactas de esos servidores. Con esas pruebas,
el tribunal dio autorización a Microsoft y sus socios para deshabilitar las
direcciones de IP, imposibilitar el acceso al contenido almacenado en los servidores
de comando y control, suspender todos los servicios a los operadores del
botnet, e impedir cualquier intento de compra o alquiler de servidores por
parte de los operadores de Trickbot.
Para llevar a cabo estas acciones, Microsoft formó un grupo
internacional de proveedores de telecomunicaciones y de la industria. La Unidad
de Delitos Digitales (DCU, por sus siglas en inglés), dirigió los esfuerzos de
investigación, incluyendo detección, análisis, telemetría e ingeniera inversa,
y, para fortalecer su caso legal, empleó los datos y conocimientos adicionales
del equipo de Microsoft Defender y de una red global de socios integrada por
FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT y Symantec, una división de
Broadcom. Las acciones para ayudar a las víctimas contarán con el apoyo de los
ISP (proveedores de servicios de Internet) y los CERT (Equipos de respuesta
ante emergencias informáticas) de todo el mundo.
Estas acciones también representan una nueva estrategia legal que el
DCU de Microsoft está utilizando por primera vez. El caso incluye demandas de
derecho de autor contra el uso malicioso de código de software propiedad de la
compañía por parte de Trickbot. Esta estrategia es un desarrollo importante en
los esfuerzos de detener la propagación de malware y permite iniciar una acción
civil para proteger a los clientes en la gran cantidad de países donde se
aplican este tipo de leyes.
“Anticipamos completamente que los operadores de Trickbot harán
esfuerzos para reactivar sus operaciones, y trabajaremos con nuestros socios
para monitorear sus actividades y tomar medidas legales y técnicas adicionales
para detenerlos,” dijo Tom Burt, Corporate Vice President, Customer Security
& Trust.
Impacto en otros sectores
Además de amenazar las elecciones, Trickbot es conocido por utilizar
malware para atacar los sitios web bancarios y robarle dinero a las personas y
a las instituciones financieras. Instituciones financieras, que abarcan desde
bancos globales y procesadores de pago hasta cooperativas de ahorro y crédito
regionales, han sido víctimas de Trickbot. Por tal motivo, el Centro de
Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC, por
sus siglas en inglés) ha sido un socio y codemandante fundamental en las
acciones legales que ha emprendido Microsoft.
Cuando alguien utiliza una computadora infectada con Trickbot para
ingresar al sitio web de una institución bancaria, el botnet realiza una serie
de actividades para secuestrar de manera secreta el navegador web del usuario,
robar las credenciales de inicio de sesión de banca en línea de la persona y
otra información confidencial, y enviar esos datos a los operadores de las
redes delictivas. Las personas no se percatan de las actividades de Trickbot
porque está diseñado para ocultarse. Después de que el botnet roba las
credenciales de inicio de sesión y la información personal, los operadores
utilizan esa información para acceder a las cuentas bancarias de las víctimas.
Los usuarios realizan un inicio de sesión normal, sin advertir que se les está
vigilando y robando.
Trickbot también es conocido por distribuir el ransomware de cifrado
Ryuk, que se ha utilizado en ataques contra una amplia variedad de
instituciones públicas y privadas. El ransomware puede tener efectos
devastadores, hace poco, paralizó la red de TI de un hospital alemán, lo que
provocó la muerte de una mujer que requería atención de emergencia. Ryuk es un
sofisticado ransomware de cifrado que identifica y cifra los archivos en una
red y desactiva Windows System Restore para impedir que las personas sin
respaldos externos se recuperen del ataque. Ryuk dirige sus ataques a
diferentes tipos de organizaciones, tales como gobiernos municipales,
tribunales estatales, hospitales, asilos de ancianos, empresas y universidades
grandes. Por ejemplo, Ryuk fue responsable de los ataques a un contratista del
Departamento de Defensa de Estados Unidos, a la ciudad de Durham en Carolina
del Norte, a un proveedor de TI de 110 asilos de ancianos, y a varios
hospitales durante la pandemia del COVID-19.
Seguridad electoral y protección contra malware
Tal como compartió Microsoft el mes pasado a través de su Digital
Defense Report (Informe de defensa digital), los ataques de ransomware están
aumentando. Para las organizaciones que trabajan en las elecciones y desean
protegerse contra el ransomware y otras amenazas está AccountGuard, un servicio
gratuito de notificación de amenazas que actualmente protege más de dos
millones de cuentas de correo electrónico en todo el mundo. A través de AccountGuard,
se han enviado hasta la fecha más de 1,500 notificaciones de ataques a los
Estados Nación a los suscriptores de AccountGuard. También existe Microsoft 365
para Campañas, una versión fácil de configurar de Microsoft 365 que incorpora
ajustes predeterminados inteligentes y seguros a un precio accesible. Por
último, Election Security Advisors (Asesores en seguridad electoral) ofrece
servicios de resiliencia proactiva y de respuesta inmediata ante incidentes a
los organizadores de campañas y funcionarios electorales, también a un precio
accesible.
La Unidad de Delitos Digitales continuará participando en las
operaciones para proteger tanto a las organizaciones involucradas en el proceso
democrático como a toda la base de clientes de la compañía. Desde el 2010,
Microsoft, a través de la de Unidad de Delitos Digitales, ha colaborado con
agencias policiacas y otros socios en 23 interrupciones de malware y dominios
de los Estados Nación, lo que permitió rescatar más de 500 millones de
dispositivos de manos de los delincuentes cibernéticos. En esta acción civil,
se ha empleado una nueva estrategia legal que permite aplicar la ley de
derechos de autor para evitar que la infraestructura de Microsoft, en este caso
su código de software se utilice para cometer delitos. Debido a que la ley de
derechos de autor es más común que la ley de delitos informáticos, esta nueva
estrategia es de gran ayuda para proceder penalmente contra los delincuentes en
más jurisdicciones del mundo.
0 Comentarios