Em resposta à preocupação do governo dos EUA e de especialistas independentes sobre a grande ameaça representada pelo ransomware nas próximas eleições, a Microsoft aplicou, por meio de uma ordem judicial, medidas técnicas em colaboração com provedores de telecomunicações de todo o mundo para interromper as operações de uma botnet chamada Trickbot, uma das botnets e distribuidoras de ransomware mais conhecidas e atuantes, tendo impactado até o momento mais de 1 milhão de vítimas em todo o mundo desde o final de 2016. A companhia isolou a infraestrutura principal, de modo que os operadores da Trickbot não sejam capazes de iniciar novas infecções nem ativar ransomwares já instalados em computadores.
Os adversários poderiam usar o ransomware para infectar computadores usados para armazenar os registros eleitorais e para enviar os resultados na noite das eleições, e apoderar-se desses sistemas em um determinado momento para semear caos e desconfiança. Além de proteger a infraestrutura eleitoral contra ataques de ransomware, as medidas implementadas hoje pela Microsoft protegerão uma grande variedade de organizações, como instituições de serviços financeiros, agências governamentais, centros de saúde, empresas e universidades, contra as várias infecções por malware causadas pela Trickbot.
A botnet Trickbot
A Microsoft e seus parceiros (ISPs e CERTs locais) conseguiram identificar que parte da infraestrutura criminosa estava localizada na Argentina, Brasil, Colômbia, Equador, Paraguai e Uruguai, afetando dispositivos IoT em toda a região. Embora a identidade exata dos operadores ainda seja desconhecida, pesquisas sugerem que eles servem tanto a estados-nações quanto a redes criminosas em uma variedade de objetivos.
No decorrer das investigações da Microsoft sobre a Trickbot, analisamos aproximadamente 61.000 amostras do malware Trickbot. O que o torna tão perigoso é que ele tem capacidades modulares que evoluem constantemente, infectando vítimas para os propósitos dos operadores por meio de um modelo de “Malware como um Serviço”.
Seus operadores poderiam fornecer acesso a máquinas infectadas e oferecer a seus clientes um mecanismo de entrega para muitas formas de malware, incluindo ransomware. Além de infectar computadores de usuários finais, a Trickbot também infectou uma série de dispositivos de Internet das Coisas, como roteadores, que ampliaram o alcance da Trickbot para residências e organizações.
Além de manter capacidades modulares para uma variedade de finalidades, os operadores provaram-se hábeis em mudar as técnicas com base nos progressos da sociedade. As campanhas de spam e spearphishing da Trickbot usadas para distribuir malware incluíram tópicos como Black Lives Matter e COVID-19, levando as pessoas a clicar em documentos ou links mal-intencionados.
Com base nos dados que vemos através da Detecção Avançada de Ameaças do Microsoft Office 365, a Trickbot tem sido a operação de malware mais atuante usando chamarizes com o tema da COVID-19.
Componentes de interrupção e nova estratégia legal
Tomamos a providência de hoje depois que o Tribunal Distrital dos Estados Unidos para o Distrito Oriental da Virgínia concedeu nosso pedido de uma ordem judicial para deter as operações da Trickbot.
Durante a investigação que sustentou nosso caso, conseguimos identificar detalhes operacionais que incluem a infraestrutura que a Trickbot usou para se comunicar e controlar computadores das vítimas, a maneira como os computadores infectados se comunicam uns com os outros e os mecanismos da Trickbot para evitar a detecção e as tentativas de interromper seu funcionamento. Ao observarmos os computadores infectados se conectarem e receberem instruções de servidores de comando e controle, conseguimos identificar os endereços IP precisos daqueles servidores. Com essa evidência, o tribunal concedeu a aprovação para que a Microsoft e nossos parceiros desativem os endereços IP, tornem inacessível o conteúdo armazenado nos servidores de comando e controle, suspendam todos os serviços para os operadores do botnet e bloqueiem qualquer esforço dos operadores da Trickbot para comprarem ou alugarem servidores adicionais.
Para executar essa ação, a Microsoft formou um grupo internacional de provedores do setor e de telecomunicações. Nossa Unidade de Crimes Digitais (DCU) liderou os esforços de investigação, incluindo detecção, análise, telemetria e engenharia reversa, com dados adicionais e insights para fortalecer nosso caso jurídico de uma rede global de parceiros, incluindo FS-ISAC, ESET, Black Lotus Labs da Lumen, NTT e Symantec, uma divisão da Broadcom, além de nossa equipe do Microsoft Defender. Outras ações para remediar as vítimas terão o suporte de provedores de serviços de Internet (ISPs) e Equipes de Resposta a Emergências Computacionais (CERTs) em todo o mundo.
Esta ação também representa uma nova abordagem legal que nossa DCU está usando pela primeira vez. Nosso caso inclui reclamações de direitos autorais contra o uso mal-intencionado de nosso código de software pela Trickbot. Essa abordagem é um desenvolvimento importante em nossos esforços para deter a propagação de malware, que nos permite tomar medidas civis para proteger os clientes no grande número de países do mundo todo que têm essas leis em vigor.
“Prevemos plenamente que os operadores da Trickbot adotarão esforços para reativar suas operações, e trabalharemos com nossos parceiros para monitorar suas atividades e tomar as medidas legais e técnicas necessárias para detê-los”, disse Tom Burt, Vice-presidente Corporativo de Customer Security & Trust.
Impacto em outros setores
Além de sua ameaça às eleições, a Trickbot é conhecida por usar malware para acessar sites de serviços bancários online e roubar fundos de pessoas e instituições financeiras. Instituições financeiras que vão de bancos globais e processadores de pagamentos a cooperativas de crédito regionais foram alvos da Trickbot. Por isso, o Financial Services Information Sharing and Analysis Center (FS-ISAC) está sendo um parceiro e coautor crítico em nossa ação judicial.
Quando alguém usando um computador infectado pela Trickbot tenta fazer login no site de uma instituição financeira, a Trickbot executa uma série de atividades para sequestrar secretamente o navegador da Web do usuário, capturar as credenciais de login financeiro online da pessoa e outras informações pessoais e enviá-las para os operadores criminosos. As pessoas não sabem da atividade da Trickbot, uma vez que os operadores o conceberam para se esconder. Depois que a Trikbot captura credenciais de login e informações pessoais, os operadores usam aquelas informações para acessar as contas bancárias das pessoas. As pessoas vivenciam um processo normal de login e normalmente não têm conhecimento da vigilância e do roubo subjacentes.
A Trickbot também é conhecida por entregar o cripto-ransomware Ryuk, que tem sido usado em ataques contra uma grande variedade de instituições públicas e privadas. Ransomware pode ter efeitos devastadores. Recentemente, ele paralisou a rede de TI de um hospital alemão, resultando na morte de uma mulher que precisava de tratamento de emergência. O Ryuk é um cripto-ransomware sofisticado porque identifica e criptografa arquivos de rede e desabilita a Restauração do Sistema do Windows para evitar que as pessoas possam se recuperar do ataque sem backups externos. O Ryuk tem atacado organizações, incluindo governos municipais, tribunais estaduais, hospitais, casas de repouso, empresas e grandes universidades. Por exemplo, o Ryuk foi atribuído a ataques dirigidos a um prestador de serviço do Departamento de Defesa dos EUA, à cidade de Durham, na Carolina do Norte, a um fornecedor de TI para 110 casas de repouso e hospitais durante a pandemia da COVID-19.
Segurança eleitoral e proteção contra malware
Como informamos no mês passado em nosso Relatório de Defesa Digital, o ransomware está em ascensão. Para organizações envolvidas na eleição que desejam proteção contra ransomware e outras ameaças, oferecemos o serviço gratuito de notificação de ameaças AccountGuard que agora protege mais de dois milhões de contas de email em todo o mundo. Concluímos mais de 1.500 notificações de ataque a estados-nações do AccountGuard aos inscritos do AccountGuard até agora. Também oferecemos o Microsoft 365 para Campanhas, e uma versão fácil de configurar do Microsoft 365 que vem com configurações padrão inteligentes e seguras a um preço acessível. Por fim, os consultores de segurança eleitoral fornecem serviços de resiliência proativos e resposta reativa a incidentes para campanhas e funcionários eleitorais, também a um preço acessível.
Nossa Unidade de Crimes Digitais também continuará a participar de operações para proteger organizações envolvidas no processo democrático e toda a nossa base de clientes. Desde 2010, a Microsoft, por meio da Unidade de Crimes Digitais, colaborou com autoridades legais e outros parceiros em interrupções de 23 malwares e de domínio de estados-nações, resultando em mais de 500 milhões de dispositivos resgatados de cibercriminosos. Com esta ação civil, utilizamos uma nova estratégia legal que nos permite impor a lei de direitos autorais para impedir que a infraestrutura da Microsoft, neste caso nosso código de software, seja utilizada para cometer crimes. Como a lei de direitos autorais é mais comum do que a lei de crimes de computador, esta nova abordagem nos ajuda a perseguir agentes mal-intencionados em mais jurisdições ao redor do mundo.