Beberapa hari setelah Pemerintah AS mengambil langkah untuk mengganggu botnet TrickBot yang terkenal jahat. Sekelompok perusahaan keamanan dan teknologi dunia maya telah merinci upaya terkoordinasi terpisah untuk menghapus infrastruktur back-end malware.
Kolaborasi bersama, yang melibatkan Unit Kejahatan Digital Microsoft, Lab Black Lotus Lumen. Dan juga ESET, Pusat Berbagi dan Analisis Informasi Layanan Keuangan (FS-ISAC), NTT, dan Symantec dari Broadcom.
Itu terjadi setelah permintaan mereka untuk menghentikan operasi TrickBot dikabulkan oleh Pengadilan Distrik AS untuk Distrik Timur Virginia.
Perkembangan itu terjadi setelah Komando Siber AS melancarkan kampanye untuk menggagalkan penyebaran TrickBot atas kekhawatiran serangan ransomware.
Yang kabarnya menargetkan sistem pemungutan suara menjelang pemilihan presiden bulan depan.
Upaya itu bertujuan untuk menghalangi botnet yang pertama kali teridentifikasi oleh KrebsOnSecurity awal bulan ini.
Microsoft dan mitranya menganalisis lebih dari 186.000 sampel TrickBot, menggunakannya untuk melacak infrastruktur command-and-control (C2).
Yaitu malware yang berguna untuk berkomunikasi dengan mesin korban dan mengidentifikasi alamat IP server C2. Dan juga TTP lain untuk menghindari deteksi.
Microsoft Musnahkan Botnet TrickBot
Dengan bukti ini, pengadilan memberikan persetujuan kepada Microsoft dan mitra kami untuk menonaktifkan alamat IP. Membuat konten yang tersimpan pada server perintah dan kontrol tidak dapat diakses.
Juga menangguhkan semua layanan ke operator botnet. Dan memblokir upaya apa pun oleh operator TrickBot untuk membeli atau sewa server tambahan.
Menurut Microsoft
Sejak asalnya sebagai Trojan perbankan pada akhir 2016, TrickBot telah berkembang menjadi pisau Swiss Army yang mampu mencuri informasi sensitif.
Dan bahkan menjatuhkan ransomware dan toolkit pasca-eksploitasi pada perangkat yang tersusupi, selain merekrut mereka ke dalam sebuah keluarga bot.
“Selama bertahun-tahun, operator TrickBot mampu membangun botnet besar-besaran, dan malware berkembang menjadi malware modular yang tersedia untuk malware-as-a-service,” kata Microsoft.
Infrastruktur TrickBot tersedia bagi penjahat dunia maya yang menggunakan botnet sebagai titik masuk untuk kampanye.
Termasuk serangan yang mencuri kredensial, mengekstrak data, dan menyebarkan muatan tambahan, terutama ransomware Ryuk, pada jaringan target.
Biasanya itu akan terkirim melalui kampanye phishing yang memanfaatkan peristiwa terkini. Atau iming-iming keuangan untuk membujuk pengguna membuka lampiran file berbahaya.
Dan atau mengklik tautan ke situs web yang menghosting malware. TrickBot juga telah terlihat sebagai muatan tahap kedua dari botnet jahat lain yang bernama Emotet.
Operasi kejahatan dunia maya telah menginfeksi lebih dari satu juta komputer hingga saat ini.
Microsoft, bagaimanapun, memperingatkan bahwa mereka tidak mengharapkan tindakan terbaru untuk mengganggu TrickBot secara permanen.
Dan menambahkan bahwa penjahat dunia maya terkait botnet kemungkinan akan melakukan upaya untuk menghidupkan kembali operasi mereka.
Menurut Feodo Tracker yang berbasis di Swiss, delapan server kontrol TrickBot. Beberapa terlihat minggu lalu untuk pertama kali, masih online setelah penghapusan.
