A Microsoft obteve uma ordem judicial para encerrar servidores que a empresa diz fazerem parte do botnet Trickbot antes das eleições de 2020, noticiou o Washington Post na segunda-feira (12).
O vice-presidente de segurança e confiança do consumidor, Tom Burt, disse ao Post que o botnet representa uma ameaça “teórica, mas real” à segurança eleitoral, já que é conhecido por ser administrado por criminosos que falam russo e pode ser usado para lançar ataques de ransomware.
Ransomware é um tipo de malware que sequestra redes de computadores e normalmente mantém os dados como reféns em troca de algum tipo de pagamento – embora os invasores possam simplesmente renunciar ao elemento de resgate e bloquear permanentemente os usuários de seus próprios computadores. Embora um ataque de ransomware a urnas eletrônicas, funcionários eleitorais ou campanhas políticas seja sem precedentes, gangues de criminosos cibernéticos têm como alvo governos municipais e estaduais, bem como grandes instituições, como hospitais, nos últimos anos.
A Microsoft escreveu em uma postagem em seu blog que a observação de computadores infectados pelo Trickbot permitiu determinar como os dispositivos comprometidos conversavam entre si e, assim, a empresa tentou ofuscar essas comunicações. Essa análise também permitiu que a identificação dos endereços IP dos servidores de comando e controle que distribuem e direcionam o Trickbot.
Na segunda-feira, a empresa obteve uma ordem de restrição contra oito provedores de serviços dos EUA, citando a violação do Trickbot de marcas registradas da Microsoft. Isso, por sua vez, permitiu que esses endereços de IP ficassem offline, tornando os cerca de 1 milhão de dispositivos infectados pelo Trickbot inúteis e irrecuperáveis para aqueles que executam o botnet. De acordo com a postagem do blog:
Conforme observamos os computadores infectados se conectarem e receberem instruções dos servidores de comando e controle, pudemos identificar os endereços IP precisos desses servidores. Com essa evidência, o tribunal concedeu aprovação para a Microsoft e nossos parceiros desabilitarem os endereços IP, tornar o conteúdo armazenado nos servidores de comando e controle inacessíveis, suspender todos os serviços para os operadores de botnet e bloquear qualquer esforço dos operadores do Trickbot para comprar ou alugar servidores adicionais.
O Trickbot em si não é um tipo de ransomware – é um trojan que sequestra navegadores da web para roubar credenciais de login e costuma ser usado para atacar bancos – ele pode ser usado para entregar ransomware como o Ryuk, que visava sistemas hospitalares no Alabama. A empresa de segurança cibernética Kapersky estimou que o Ryuk e outras variantes de ransomware foram usados em pelo menos 174 ataques a instituições municipais em 2019.
A Microsoft não estava preocupada que o botnet pudesse ser usado para modificar os resultados eleitorais reais, mas que um ataque aos sistemas de registro de eleitores, tablets usados pelos funcionários das pesquisas ou sistemas de relatório de resultados pudesse ser usado para atrapalhar a eleição e alimentar esforços para minar sua legitimidade, escreveu o Post.
A gigante da tecnologia obteve apoio “discretamente” de autoridades em vários países para que sua Unidade de Crimes Digitais liderasse os esforços anti-botnet, relatou o New York Times no início deste ano. Em março de 2020, a Microsoft encerrou 18 operações de crimes cibernéticos na última década, incluindo simultaneamente congelar ou tomar o controle de cerca de seis milhões de domínios que eram usados pelo grupo Necurs, com sede na Rússia, para enviar e-mails fraudulentos, apoiar golpes do mercado de ações e espalhar ransomware. De acordo com a Bloomberg, a ação para derrubar o Trickbot foi “altamente coordenada” e exigiu a assistência de provedores de telecomunicações em vários países. Na ação judicial, a empresa também recebeu apoio do Centro de Análise e Compartilhamento de Informações de Serviços Financeiros, que representa milhares de bancos, alguns dos quais foram alvos do Trickbot.
Na semana passada, o Post informou separadamente que quatro fontes confirmaram que o US Cyber Command estava lançando suas próprias operações para interromper a rede Trickbot, pelo menos temporariamente. Em 22 de setembro e 1º de outubro, especialistas em segurança cibernética notaram que os servidores de comando e controle do Trickbot aparentemente foram hackeados para enviar comandos de encerramento para máquinas infectadas, embora em ambos os casos os operadores do botnet puderam recuperar o controle da situação.
Brett Callow, porta-voz da empresa de segurança Emsisoft, disse à Bloomberg que a rede Trickbot estava associada a pelo menos dois grandes grupos da Europa Oriental ou da Rússia: os operadores do Ryuk (que ganharam o apelido de Wizard Spider) e os de uma variante mais recente chamada Conti que pode ser uma ramificação ou sucessor do grupo Ryuk. O Crowdstrike acredita que o Wizard Spider é uma gangue criminosa motivada por dinheiro, e não um grupo apoiado por um Estado-nação.
A Microsoft escreveu em seu blog que os operadores da rede Trickbot permanecem desconhecidos, mas “a pesquisa sugere que eles servem tanto a estados-nações quanto a redes criminosas para uma variedade de objetivos” em uma base mercenária de “malware como serviço”. Tom Kellermann, chefe de estratégia de segurança cibernética da VMWare e membro de um conselho consultivo do Serviço Secreto, disse ao Times que o governo russo mantém uma “pax mafiosa” com gangues de crimes cibernéticos que são deliberadamente ignoradas pelo governo para que ele possa utilizá-las para seus próprios interesses.
“É uma estrada que só é usada por criminosos”, disse ao New York Times Amy Hogan-Burney, uma ex-advogada do FBI que se tornou gerente-chefe da Unidade de Crimes Digitais da Microsoft. “E a ideia de que permitiríamos que continuassem existindo não faz sentido. Temos que desmantelar a infraestrutura…Cortamos os braços deles por um tempo”.