今天,一个科技公司联盟宣布协同行动,摧毁TrickBot恶意软件僵尸网络的后端基础设施。
参与此次拿下的公司和组织包括微软的Defender安全团队、FS-ISAC、EESET、Lumen的黑莲花实验室、NNTT和博通的网络安全部门赛门铁克(Symantec)。
在被拿下之前,所有参与者都对TrickBot的服务器和恶意软件模块的后端基础设施进行了调查。
微软、ESET、赛门铁克和合作伙伴花了几个月的时间收集了超过12.5万个TrickBot恶意软件样本,分析它们的内容,提取并映射有关该恶意软件内部运作的信息,包括僵尸网络用来控制受感染的计算机和提供其他模块的所有服务器。
有了这些信息,微软本月走上法庭,要求法官授予其对TrickBot服务器的控制权。
微软在今天的一份新闻稿中说,有了这个证据,法院批准微软和我们的合作伙伴禁用IP地址,使存储在指挥和控制服务器上的内容无法访问,暂停对僵尸网络运营商的所有服务,并阻止TrickBot运营商购买或租赁额外服务器的任何努力。
现在正与世界各地的互联网服务提供商(ISP)和计算机应急准备小组(CERT)一起努力通知所有受感染的用户。
根据联盟成员的说法,TrickBot僵尸网络在被攻破时已经感染了100多万台计算机。其中一些受感染的系统还包括物联网(IoT)设备。
该恶意软件最初始于2016年,最初是一个银行特洛伊木马程序,然后转移到一个多用途恶意软件下载器,该程序会感染系统,并使用一种名为MAAS(恶意软件即服务)的商业模式为其他犯罪集团提供访问权限。
与Emotet一起,TrickBot僵尸网络已经成为当今最活跃的Maas平台之一,经常向Ryuk和Conti等勒索软件团伙租用受感染计算机的访问权。
然而,TrickBot团伙还部署了银行木马和信息窃取木马,还为BEC诈骗者、工业间谍团伙,甚至民族国家行为者提供了进入企业网络的权限。
这是继3月份Necur之后,今年第二个被攻破的主要恶意软件僵尸网络。
然而,这次撤军的成功还有待观察。许多其他僵尸网络在过去的类似攻击中幸存下来。最好的例子是Kelihos僵尸网络,它在三次破坏尝试中幸存下来,从头开始重建,并继续运行。