¿Trickbot finalmente está muerto? ¿Como muerto-muerto?
Esta semana, varios analistas de seguridad cibernética señalaron que el notorio los servidores de botnet habían sido apagar y mucha gente parece pensar que esta vez podría ser para siempre. Las especulaciones sobre la desaparición de la botnet se deben en parte a un “gran cambio” percibido por parte de sus operadores, la firma de ciberseguridad Intel471 escribió esta semana. Ese cambio parece incluir un giro hacia otras operaciones de malware criminal. como medio tiempo malware como servicio vendedores ambulantes, los piratas informáticos detrás de Trickbot se centran en vender acceso a herramientas de ciberdelincuencia de alta calidad. Como tal, parecen estar enfocándose en emprendimientos comerciales más nuevos, incluido el poderoso troyano Emotetey BazarLoaderuna puerta trasera comúnmente utilizada para ayudar en la ejecución de ciberataques.
Para referencia, redes de bots son básicamente grandes redes de dispositivos “zombies”: computadoras que han sido infectadas con tipos especiales de malware que les permiten ser controladas colectivamente por ciberdelincuentes. Los recursos de los dispositivos infectados se desvían y se utilizan para lanzar ataques de ransomware, realizar campañas de criptojacking y spam, y muchas otras cosas malas.
Desde su aparición a finales de 2016, Trickbot ha sido una de las botnets más conocidas y destructivas de la web. Después de haber infectado más de un millón de dispositivos, los grupos de ciberdelincuencia han aprovechado su malware para alardear robo financiero ataques en todo el mundo. Se cree que Trickbot es operado principalmente por un grupo llamado “Araña hechicera”, un prolífico escuadrón de hackers con sede en San Petersburgo, Rusia. De hecho, se cree que Spider es parte de un “cíber cártel” más amplio, del tipo del cual supuestamente recibe apoyo del gobierno ruso.
Hasta hace poco, Trickbot era una de las empresas de ciberdelincuencia más activas y destructivas de Wizard Spider. Pero, en octubre de 2020, la infraestructura que soporta a Trickbot fue dañada por una serie de comportamiento tomadas por el Comando Cibernético de EE. UU. del Pentágono, así como microsoft. Las operaciones involucraron a piratas informáticos de USG que tenían como objetivo los servidores de comando y control de Trickbot, mientras que Microsoft usó una orden judicial para bloquear las direcciones IP de los dispositivos involucrados en la operación de la botnet. En ese momento, a los funcionarios estadounidenses les preocupaba que Trickbot pudiera ser aprovechado por el gobierno ruso para interrumpir las elecciones presidenciales de EE. UU.
Un reciente informe de Intel471 muestra que Trickbot ha exhibido cada vez menos actividad desde la intervención de 2020, con sus campañas de piratería desacelerándose hasta prácticamente detenerse a fines del año pasado:
Incluso cuando el Comando Cibernético de EE. UU. y Microsoft incautaron servidores y el Departamento de Justicia de EE. UU. arrestó a varias personas presuntamente involucradas con el grupo que ejecuta el malware, Trickbot se mantuvo activo durante 2021 con varias campañas de infección. Estos períodos esporádicos de actividad no han continuado hasta 2022. Desde el 28 de diciembre de 2021 hasta el 17 de febrero de 2022, los investigadores de Intel 471 no han visto nuevas campañas de Trickbot. Si bien ha habido momentos de calma de vez en cuando, este largo descanso puede considerarse inusual.
Cabe señalar, sin embargo, que si bien puede parecer que los comentaristas están escribiendo los obituarios de Trickbot, las botnets tienen la costumbre de resucitar. Al igual que los vampiros digitales, solo necesitan que alguien vuelva a encender la luz y, listo, vuelven a la acción, listos para causar estragos como nadie.