Eslovaquia enfrenta un ataque: código malicioso ha atacado computadoras, ESET se ha unido a la solución

ESET Security es una operación global para interrumpir el funcionamiento de la botnet Trickbot (red de dispositivos infectados). Es uno de los nativos más activos, que desde 2016 ha atacado más de un millón de instalaciones en todo el mundo, incluida Eslovaquia.

En el pasado, Trickbot se conocía principalmente como un malvr bancario, que principalmente intentaba robar datos verticales de los dispositivos afectados, especialmente con la banca por Internet, y usarlos indebidamente para transacciones fraudulentas. Recientemente, los delincuentes detrás de él se han reorientado y están intentando descargar ransomware para el dispositivo infectado, es decir, la persona malintencionada que cifra el contenido del dispositivo y solicita la compra para desbloquearlo.

  

A lo largo de los a√Īos, hemos visto crecer la cantidad de dispositivos comprometidos por Trickbot, lo que la convierte en una de las redes de bots m√°s grandes y de mayor duraci√≥n. Trickbot es uno de los clientes maliciosos de banca por Internet m√°s extendidos y representa una amenaza para los usuarios de todo el mundo, explica Juraj Malcho, director de tecnolog√≠a de ESET.

Mapa de las regiones afectadas. Fuente: ESET

ESET est√° trabajando con socios como Microsoft, Lumens Black Lotus Labs Threat Research, NTT y otras compa√Ī√≠as en la operaci√≥n. La botnet Trickbot es una red de dispositivos infectados que, a trav√©s de servidores de administraci√≥n y control, hacen lo que les dice su operador, incluida la descarga e instalaci√≥n de otro c√≥digo malicioso. Debido a esto, sucede sin el conocimiento de los propietarios de estos dispositivos.

Del mismo modo, las botnets se alquilan en el mercado negro para diversas actividades nocivas. Una operaci√≥n conjunta en la que ESET participa activamente tiene como objetivo interrumpir el funcionamiento de los servidores de control y administraci√≥n de la botnet Trickbot. Si esto tiene √©xito, estos servidores perder√°n monos para comunicarse con los dispositivos infectados que han sido atacados por el Trickbot malicioso, y es posible que los usuarios de estos dispositivos ni siquiera noten ning√ļn cambio.

U desde 2016

Los investigadores de ESET han estado rastreando las actividades de esta red de bots desde su descubrimiento, es decir, desde 2016. Solo en 2020, ESET analiz√≥ la plataforma de rastreo de redes de bots en busca de m√°s de 125,000 muestras maliciosas y descarg√≥ y descifr√≥ m√°s de 40,000 cuerpos de configuraci√≥n utilizados por varios m√≥dulos de Trickbot. Esto le dio a ESET una excelente descripci√≥n general del dise√Īo y el funcionamiento de los servidores de administraci√≥n y control de esta botnet.

Si rompes esta amenaza sin explotar es muy nron, debido a diferentes mecanismos malignos. En general, esta operación es extremadamente difícil debido a que esta botnet está estrechamente vinculada a otras amenazas en línea muy activas, una llamada sobre la Operación Malcho.

Trickbot ha estado involucrado de varias formas durante su existencia. En el √ļltimo per√≠odo, fue alcanzado e instalado con mayor frecuencia por la conocida y muy extendida botnet Emotet. En la actualidad, se alquila por primera vez en el mercado negro para actividades similares, es decir, para el retiro de otra persona da√Īina a instalaciones infectadas. Emotet se usa para infectar a las v√≠ctimas a trav√©s de correos electr√≥nicos maliciosos o fraudulentos, y la bolsa tambi√©n se ha probado en l√≠nea.

Comenzó con la banca por Internet, ahora su negocio se ha expandido

En el pasado, los estafadores usaban Trickbot para robar datos de manera perpendicular a la banca por Internet y para realizar transferencias financieras fraudulentas, pero gradualmente se convirti√≥ en un mortero modular capaz de una amplia gama de activos da√Īinos.

Uno de los complementos más antiguos de Trickbot solo permitía inyecciones web, la persona malintencionada podía cambiar dinámicamente lo que el usuario mostraba en páginas web específicas que visitaba en el dispositivo infectado.

Durante el monitoreo, recopilamos docenas de iglesias de configuración diferentes, pero también descubrimos si los operadores de Trickbot se enfocaron en sus sitios web. Se trataba principalmente de sitios web de instituciones financieras, agrega Malcho. En la actualidad, la bolsa de Trickbot se centra en el ransomware.

La prevención de personas malintencionadas similares consiste en aumentar su propia conciencia de seguridad, actualizar periódicamente el sistema operativo y todos los programas instalados, y también utilizar una solución de seguridad de varias capas.

Kee es igualmente da√Īino cuando roba varios inicios de sesi√≥n de sus v√≠ctimas, es necesario convertirlos exclusivamente en un dispositivo seguro y confiable. De lo contrario, incluso los datos de inicio de sesi√≥n modificados llegar√≠an a manos de estafadores. Los clientes que utilizan las soluciones de seguridad actuales de ESET est√°n protegidos contra esta amenaza.