微軟與其他安全公司合作摧毀了臭名昭著的 Trickbot 勒索軟件僵尸網絡

由FS-ISAC，ESET，Lumen’s Black Lotus Labs，NTT，Symantec和微軟聯合開展的旨在摧毀TrickBot僵尸網絡的聯合行動。

微軟的Defender團隊，FS-ISAC，ESET，Lumen’s Black Lotus Labs，NTT和 Broadcom的網絡安全部門Symantec聯合起來，并于昨天宣布協同努力，摧毀臭名昭著的TrickBot僵尸網絡的指揮和控制基礎設施。

幾個月來，參與摧毀的專家一直支持對TrickBot后端基礎設施的調查。

“通過監視Trickbot活動，我們收集了成千上萬個不同的配置文件，使我們能夠了解Trickbot運營商針對哪些網站。目標URL大多屬于金融機構，” ESET威脅研究主管Jean-Ian Boutin說道。
“試圖破壞這種難以捉摸的威脅非常具有挑戰性，因為它具有各種后備機制，而且與地下其他活躍的網絡犯罪分子的相互聯系使整個行動極為復雜。”

安全公司已經收集了超過125,000個TrickBot惡意軟件樣本，并繪制了命令和控制基礎結構圖。TrickBot僵尸網絡被安全專家認為是最大的僵尸網絡之一。

全世界的Internet服務提供商（ISP）和計算機應急準備小組（CERT）也通過通知所有受感染的用戶來支持該操作。

該安全公司收集的信息被Microsoft用來獲得撤除TrickBot服務器的授權書。

“美國弗吉尼亞州東區地區法院批準了我們要求法院下令停止Trickbot運營的請求后，我們采取了今天的行動。”閱讀Microsoft發布的帖子。
“有了這些證據，法院批準微軟和我們的合作伙伴禁用IP地址，使存儲在指揮和控制服務器上的內容無法訪問，暫停僵尸網絡運營商的所有服務，并阻止TrickBot運營商購買或租賃額外服務器的任何努力。”

這是繼3月份Necur One之后，今年第二次大規模的僵尸網絡攻擊行動。

微軟指出，這一撤換代表了其DCU首次使用的一種新的法律手段，其中包括對非法使用這家IT巨頭軟件代碼的Trickbot運營商提出的版權索賠。微軟選擇了這種方式，對僵尸網絡運營商采取民事訴訟，并保護其在世界各地的客戶。

根據參與行動的安全公司的說法，TrickBot僵尸網絡在被拿下時已經感染了100多萬臺設備。

Trickbot自2016年以來一直活躍，當時作者設計它是為了竊取銀行憑證。多年來，威脅不斷演變，其運營商實施了模塊化結構，允許他們以惡意軟件即服務的形式提供威脅。Trickbot的基礎設施被騙子用來破壞系統和進行人工操作的戰役，特別是它被用來部署Ryuk勒索軟件。

該惡意軟件最初始于2016年，最初是一個銀行特洛伊木馬程序，然后轉移到一個多用途惡意軟件下載器，該程序會感染系統，并使用一種名為MAAS(惡意軟件即服務)的商業模式為其他犯罪集團提供訪問權限。

TrickBot運營商還部署了銀行特洛伊木馬和竊取信息的特洛伊木馬，并為專注于詐騙和網絡間諜活動的騙子提供對企業網絡的訪問。

“針對Trickbot的行動是微軟針對威脅提供現實世界保護的方式之一。這一行動將保護范圍廣泛的組織，包括金融服務機構、政府、醫療保健和其他垂直領域，使其免受通過Trickbot基礎設施提供的惡意軟件和人為活動的影響。“微軟總結道。