Golpe a Trickbot y el ransomware Ryuk: Microsoft y varias empresas de ciberseguridad desactivan una de las mayores botnets del mundo

Enrique Pérez

Editor especializado en tecnología de consumo y sociedad de la información. Estudié física, pero desde hace más de diez años me dedico a escribir sobre tecnología, imagen y sonido, economía digital, legislación y protección de datos. Interesado en aquellos proyectos que buscan mejorar la sociedad y democratizar el acceso a la tecnología.LinkedIn

Gran victoria sobreuna de las redes de bots más peligrosas del mundo. Trickbot ha infectado más de un millón de dispositivos desde finales de 2016 y está considerada por los Estados Unidos como una de las amenazas más grandes por sus ataques de ransomware y su posibleinterferencia en las próximas elecciones. Pese a que sus responsables son desconocidos, se cree que Trickbot es utilizada por múltiples estados y organizaciones criminales.

Microsoft y las firmas de ciberseguridad ESET, NTT y Black Lotus Labsse han unido para intentar poner fin y bloquear los ataques de Trickbot. Una ofensiva para reducir, aunque sea temporalmente, ataques de ransomware como Emotet o Ryuk, muy populares en los últimos años y que previsiblemente estuvieron detrás de los ataques alAyuntamiento de Jérez,Proseguro laCadena Ser. Siendo estos solo algunos de los casos que han salido a la luz.

Qué es Trickbot y qué ha ocurrido

Microsoftha ejecutadounataque legalpara desarticular la red de bots. Unjuzgado de Virginia ha autorizado a Microsoft a hacerse con el control de múltiples servidoresque utilizaba Trickbot para infectar otros sistemas. Según ha argumentado la compañía, Trickbot provocaba daños irreparables a la marca Microsoft, corrompiendo sus productos y alterando el funcionamiento de Windows.

Según describeESET,tras analizar 125.000 muestras maliciosasen 2020, Trickbot distribuye el malware de distintas formas, en ocasionesaprovechando sistemas ya comprometidos previamente por otras botnets como Emotet. Gracias a esta investigación, realizada junto a Microsoft, Symantec y otras firmas de ciberseguridad, el grupo pudo mapear cómo funciona Trickbot y qué servidores utilizaban.

Trickbot se ha convertido en una vía para implementar varios ransomware en redes corporativas para posteriormente solicitar un rescate a cambio de no publicar la información obtenida. Entre los ransomware más conocidos de Trickbot está ‘Ryuk’, utilizado para atacar numerosas organizaciones,incluyendo hospitales.

Poner fin a estos ataques no será tan fácil

El alcance de Trickbot se expande por el mundo y pocos países quedan fuera. La importante operación contra esta red de botsha desactivado su centro de mando, pero no parece que vaya a ser definitiva.

Según explica ESET, la actividad de la botnet ha disminuido desde octubre, pero podría no estar vinculado estrictamente a la operación. Según sus datos, la mayor actividad de la red ocurrió durante los meses de enero y febrero, en marzo aparentemente se detuvo totalmente, pero posteriormente continuaron atacando sistemas.

Desde Microsoft se ha conseguido que la botnet no pueda obtener nuevos servidores pero, según apuntan expertos como Brian Krebs, esta acción “previsiblemente está condenada a fallar” por la propia naturaleza de la botnet.

Added some much-needed perspective from Intel 471 on why any attempt to take down Trickbot is likely to fail. tl;dr: Their backup communication method relies on ToR and EmerDNS, which allows the use of domains that can’t be taken down by any authorityhttps://t.co/rflBgfVj0Npic.twitter.com/Pd4fZccvRf

En Xataka |Qué es el Ransomware y cómo te puedes proteger de él