Trickbot是一家出租僵尸网络,自2016年以来已经感染了100多万台设备。在微软和一系列行业合作伙伴上周采取协调行动扰乱Trickbot之后,Trickbot的运营商正在寻找新的方式来维持运营。
在周二发布的最新消息中,微软安全与信托公司副总裁汤姆·伯特(Tom Burt)表示,此次行动最初设法拿下了Trickbot用来控制其庞大的受感染设备网络的69台服务器中的62台。Trickbot运营商的回应是迅速启动了59台新服务器,微软得以淘汰了所有服务器,只有一台除外。
总体而言,全行业的行动已经拿下了128台被确认属于Trickbot的服务器中的120台。现在,Trickbot的回应是利用一个相互竞争的犯罪集团来分发Trickbot恶意软件。
伯特写道:“这是众多迹象之一,向我们表明,面对不断受到攻击的关键基础设施,Trickbot运营商正在争先恐后地寻找其他方式来保持活跃。”“虽然与其他参与者的安排不会使Trickbot能够与其本土能力相提并论,但这也提醒人们,维护网络空间安全面临许多威胁,对人们-特别是那些参与我们选举过程安全的人-保持警惕是很重要的。”
伯特过去曾监督过几次全球僵尸网络被攻破,他说,该行业在这方面正在变得更好。在确定新的Trickbot服务器后,微软及其合作伙伴在短短三个小时内就找到了各自的主机提供商,启动了必要的法律行动,并关闭了新的基础设施。在许多合作伙伴的协调下,从通知托管服务器的提供商开始,一次关闭所需的时间不到6分钟。
伯特还说,重建命令服务器的基础设施是很耗时的,而且不是简单地设置新服务器的问题。需要配置新服务器才能开始与僵尸网络受感染的设备对话并发出命令,所有这些都需要时间。他说,许多仍然存在的服务器是路由器或其他类型的物联网设备,它们不容易受到正常关闭程序的影响。