A Microsoft obteve uma ordem judicial para encerrar servidores que a empresa diz fazerem parte do botnet Trickbot antes das eleições de 2020, noticiou o Washington Post na segunda-feira (12).

O vice-presidente de segurança e confiança do consumidor, Tom Burt, disse ao Post que o botnet representa uma ameaça “teórica, mas real” à segurança eleitoral, já que é conhecido por ser administrado por criminosos que falam russo e pode ser usado para lançar ataques de ransomware.

Ransomware é um tipo de malware que sequestra redes de computadores e normalmente mantém os dados como reféns em troca de algum tipo de pagamento – embora os invasores possam simplesmente renunciar ao elemento de resgate e bloquear permanentemente os usuários de seus próprios computadores. Embora um ataque de ransomware a urnas eletrônicas, funcionários eleitorais ou campanhas políticas seja sem precedentes, gangues de criminosos cibernéticos têm como alvo governos municipais e estaduais, bem como grandes instituições, como hospitais, nos últimos anos.

A Microsoft escreveu em uma postagem em seu blog que a observação de computadores infectados pelo Trickbot permitiu determinar como os dispositivos comprometidos conversavam entre si e, assim, a empresa tentou ofuscar essas comunicações. Essa análise também permitiu que a identificação dos endereços IP dos servidores de comando e controle que distribuem e direcionam o Trickbot.

Na segunda-feira, a empresa obteve uma ordem de restrição contra oito provedores de serviços dos EUA, citando a violação do Trickbot de marcas registradas da Microsoft. Isso, por sua vez, permitiu que esses endereços de IP ficassem offline, tornando os cerca de 1 milhão de dispositivos infectados pelo Trickbot inúteis e irrecuperáveis para aqueles que executam o botnet. De acordo com a postagem do blog:

Conforme observamos os computadores infectados se conectarem e receberem instruções dos servidores de comando e controle, pudemos identificar os endereços IP precisos desses servidores. Com essa evidência, o tribunal concedeu aprovação para a Microsoft e nossos parceiros desabilitarem os endereços IP, tornar o conteúdo armazenado nos servidores de comando e controle inacessíveis, suspender todos os serviços para os operadores de botnet e bloquear qualquer esforço dos operadores do Trickbot para comprar ou alugar servidores adicionais.

O Trickbot em si não é um tipo de ransomware – é um trojan que sequestra navegadores da web para roubar credenciais de login e costuma ser usado para atacar bancos – ele pode ser usado para entregar ransomware como o Ryuk, que visava sistemas hospitalares no Alabama. A empresa de segurança cibernética Kapersky estimou que o Ryuk e outras variantes de ransomware foram usados ​​em pelo menos 174 ataques a instituições municipais em 2019.

A Microsoft não estava preocupada que o botnet pudesse ser usado para modificar os resultados eleitorais reais, mas que um ataque aos sistemas de registro de eleitores, tablets usados ​​pelos funcionários das pesquisas ou sistemas de relatório de resultados pudesse ser usado para atrapalhar a eleição e alimentar esforços para minar sua legitimidade, escreveu o Post.

A gigante da tecnologia obteve apoio “discretamente” de autoridades em vários países para que sua Unidade de Crimes Digitais liderasse os esforços anti-botnet, relatou o New York Times no início deste ano. Em março de 2020, a Microsoft encerrou 18 operações de crimes cibernéticos na última década, incluindo simultaneamente congelar ou tomar o controle de cerca de seis milhões de domínios que eram usados ​​pelo grupo Necurs, com sede na Rússia, para enviar e-mails fraudulentos, apoiar golpes do mercado de ações e espalhar ransomware. De acordo com a Bloomberg, a ação para derrubar o Trickbot foi “altamente coordenada” e exigiu a assistência de provedores de telecomunicações em vários países. Na ação judicial, a empresa também recebeu apoio do Centro de Análise e Compartilhamento de Informações de Serviços Financeiros, que representa milhares de bancos, alguns dos quais foram alvos do Trickbot.

Na semana passada, o Post informou separadamente que quatro fontes confirmaram que o US Cyber ​​Command estava lançando suas próprias operações para interromper a rede Trickbot, pelo menos temporariamente. Em 22 de setembro e 1º de outubro, especialistas em segurança cibernética notaram que os servidores de comando e controle do Trickbot aparentemente foram hackeados para enviar comandos de encerramento para máquinas infectadas, embora em ambos os casos os operadores do botnet puderam recuperar o controle da situação.

Brett Callow, porta-voz da empresa de segurança Emsisoft, disse à Bloomberg que a rede Trickbot estava associada a pelo menos dois grandes grupos da Europa Oriental ou da Rússia: os operadores do Ryuk (que ganharam o apelido de Wizard Spider) e os de uma variante mais recente chamada Conti que pode ser uma ramificação ou sucessor do grupo Ryuk. O Crowdstrike acredita que o Wizard Spider é uma gangue criminosa motivada por dinheiro, e não um grupo apoiado por um Estado-nação.

A Microsoft escreveu em seu blog que os operadores da rede Trickbot permanecem desconhecidos, mas “a pesquisa sugere que eles servem tanto a estados-nações quanto a redes criminosas para uma variedade de objetivos” em uma base mercenária de “malware como serviço”. Tom Kellermann, chefe de estratégia de segurança cibernética da VMWare e membro de um conselho consultivo do Serviço Secreto, disse ao Times que o governo russo mantém uma “pax mafiosa” com gangues de crimes cibernéticos que são deliberadamente ignoradas pelo governo para que ele possa utilizá-las para seus próprios interesses.

“É uma estrada que só é usada por criminosos”, disse ao New York Times Amy Hogan-Burney, uma ex-advogada do FBI que se tornou gerente-chefe da Unidade de Crimes Digitais da Microsoft. “E a ideia de que permitiríamos que continuassem existindo não faz sentido. Temos que desmantelar a infraestrutura…Cortamos os braços deles por um tempo”.