2020年10月13日
雖然頭號勒索軟件Ryuk已經開始有意減少在商業木馬/僵尸網絡上的投放,轉而使用可以繞過安全工具的非現場工具,但是僵尸網絡TrickBot和Emotet依然是大多數勒索軟件的主流投放平臺,而且技術迭代速度很快,讓網絡安全公司們疲于奔命,束手無策。但是微軟公司最近卻另辟蹊徑,拿起法律武器“接管”了Trickbot僵尸網絡的基礎設施。
據知名安全博客KrebsonSecurity報道,微軟公司近日發動一次有組織的法律偷襲,以破壞惡意軟件即服務僵尸網絡Trickbot,后者已經成為全球威脅,感染了數百萬臺計算機,并用于傳播勒索軟件。
弗吉尼亞州的一家法院授權微軟接管了Trickbot大量互聯網服務器的控制權,指控的理由聽起來很新穎:Trickbot濫用了微軟的商標,觸犯了商標法。
包含Trickbot惡意軟件的釣魚郵件樣本(偽裝成國稅總局發給納稅人的信)
微軟客戶安全與信任副總裁湯姆·伯特(Tom Burt)在昨天發布的博客中宣布行動捷報:
我們通過獲得的法院命令以及與全球電信提供商合作的技術行動破壞了Trickbot。微軟現在已經切斷了Trickbot的關鍵基礎設施,Trickbot僵尸網絡的運營者將無法再發起新的感染攻擊或激活已經植入計算機系統的勒索軟件。
值得注意的是,在微軟的“商標行動”之前數日,美國軍方“網絡司令部”也針對Trickbot發起了一波攻擊,向所有受感染的Trickbot系統發送了一條指令,讓這些設備與Trickbot主控服務器斷開連接。美軍網絡司令部對Trickbot的攻擊持續了大約十天,期間還將數百萬條虛假的新受害者記錄填充到Trickbot數據庫中,以迷惑僵尸網絡的運營者。
微軟在法律訴訟文件中指控Trickbot“通過損害微軟的聲譽、品牌和客戶信譽對微軟造成不可挽回的傷害。被告人(Trickbot)實際上會更改和破壞Microsoft產品,例如Microsoft Windows產品。一旦被Trickbot感染、更改和控制,Windows操作系統將停止正常運行,并成為被告進行盜竊的工具。”
微軟于10月6日向美國弗吉尼亞東區地方法院提起民事訴訟,起訴書部分原文如下:
但是,它們(被Trickbot感染更改或控制的Windows系統)仍然帶有Microsoft和Windows商標。顯然,此舉試圖并且確實誤導了微軟的客戶,對微軟的品牌和商標造成了極大的損害。
受這些惡意應用程序的負面影響的用戶錯誤地認為Microsoft和Windows是其計算設備問題的根源。用戶很有可能將這個問題歸因于Microsoft,并將這些問題與Microsoft的Windows產品相關聯,從而沖淡并損害了Microsoft和Windows商標和品牌的價值。
微軟表示將利用接管的Trickbot服務器來識別并協助受Trickbot惡意軟件影響的Windows用戶清除其系統中的惡意軟件。
Trickbot是目前最強大的僵尸網絡之一,已被用來從數百萬臺受感染的計算機中竊取密碼,據報道,Trickbot劫持了超過2.5億個電子郵件賬戶,并不斷將新的惡意軟件副本從該電子郵件賬戶發送給受害者的聯系人。
Trickbot僵尸網絡提供的“惡意軟件即服務”功能使其成為部署各種勒索軟件,鎖定公司網絡上受感染系統的可靠工具,除非受害公司同意支付勒索費用。
在過去的一年中,高度依賴Trickbot作為投放渠道的勒索軟件“Ryuk”(Conti)已經攻擊了無數組織(包括醫療保健提供者、醫學研究中心和醫院)并招致巨大損失。
Ryuk最近的受害者是Universal Health Services(UHS),這是一家《財富》 500強醫院和醫療服務提供商,在美國和英國經營著400多個設施。
9月27日,UHS關閉了美國醫療機構的計算機系統,以阻止該惡意軟件的傳播。攻擊導致一些受影響的醫院被迫將救護車重定向,將需要手術的患者轉移到附近的其他醫院。
微軟表示,它并不認為自己的行動會永久性地破壞Trickbot,并指出該僵尸網絡背后的犯罪團伙可能會努力恢復其運營。但是到目前為止,尚不清楚微軟是否成功接管了所有的Trickbot控制服務器,也不清楚針對這些服務器的聯合執法行動的具體時間。
正如微軟在其法律文件中指出的那樣,用作Trickbot控制器的IP地址集是動態的,這使得徹底關閉該僵尸網絡的嘗試更具挑戰性。
截至發稿,安全牛查閱長期跟蹤Trickbot僵尸網絡互聯網服務器的瑞士安全站點Feodo Tracker發布的實時信息,目前依然有六個Trickbot控制服務器在線(全部都是最新出現的服務器)(下圖)。
當前在線的Trickbot控制服務器
數據來源:Feodotracker
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
