Các doanh nghiệp và tổ chức bảo mật gồm FS-ISAC, ESET, Black Lotus Labs của Lumen, NTT, Symantec và Microsoft Defender vừa cùng hợp tác phá vỡ hệ thống mạng botnet Trickbot khét tiếng. Trước khi phá hủy hệ thống botnet này, liên minh trên đã cùng nhau tiến hành các cuộc điều tra nhắm vào cơ sở hạ tầng máy chủ và module phần mềm độc hại TrickBot.
Microsoft, ESET, Symantec cùng các đối tác đã dành nhiều tháng liền thu thập hơn 125.000 mẫu phần mềm độc hại TrickBot, sau đó tiến hành phân tích, trích xuất và lập bản đồ thông tin về hoạt động của những loại mã độc này, gồm tất cả máy chủ mà mạng botnet dùng để kiểm soát máy tính bị nhiễm và triển khai các module bổ sung.
Sau khi nắm được thông tin, Microsoft đã nộp đơn xin tòa án cấp quyền được sử dụng hành động kỹ thuật để can thiệp và kiểm soát các hệ thống máy chủ TrickBot.
“Với bằng chứng cụ thể được đưa ra, tòa án đã chấp thuận cho Microsoft và các đối tác vô hiệu hóa địa chỉ IP, khiến toàn bộ nội dung lưu trữ trên các máy chủ C&C không thể truy cập được, đồng thời tạm dừng tất cả dịch vụ với các nhà khai thác mạng botnet và chặn mọi nỗ lực mua hoặc cho thuê thêm máy chủ của những tin tặc khai thác TrickBot”, Microsoft cho biết.
Các nhà cung cấp dịch vụ Internet (ISP) và Trung tâm ứng cứu Khẩn cấp máy tính (CERT) trên toàn cầu đang cố gắng gửi thông báo đến tất cả người dùng bị nhiễm.
Theo các thành viên của liên minh Microsoft và đối tác, trước thời điểm bị đánh sập, mạng botnet TrickBot đã lây nhiễm hơn một triệu máy tính. Trong những hệ thống bị nhiễm còn có cả các thiết bị Internet of Things (IoT).
TrickBot là một trong những mạng botnet lớn nhất hiện nay. Phần mềm độc hại này lần đầu tiên xuất hiện năm 2016 dưới dạng trojan ngân hàng, sau đó bị chuyển thành trình tải xuống phần mềm độc hại đa năng, lây nhiễm hệ thống và cấp quyền truy cập cho các nhóm tội phạm khác dưới hình thức kinh doanh (thường được gọi là MaaS (Malware-as-a-Service).
Cùng với Emotet, botnet TrickBot là một trong những nền tảng MaaS hoạt động tích cực nhất hiện nay, chuyên cho các nhóm tin tặc tống tiền bằng mã độc ransomware như Ryuk và Conti thuê quyền truy cập vào các máy tính bị nhiễm.
Ngoài ra, Trickbot còn triển khai trojan ngân hàng và trojan Infostealer (một loại trojan chuyên đánh cắp thông tin, dữ liệu trên thiết bị của nạn nhân), đồng thời cấp quyền truy cập vào mạng công ty cho những băng nhóm lừa đảo BEC, các tổ chức gián điệp công nghiệp và một số nhóm tin tặc được nhà nước hậu thuẫn.
Đây là mạng botnet phần mềm độc hại lớn thứ hai bị đánh sập trong năm nay sau Necurs vào tháng 3/2020. Tuy nhiên, thành công của việc phá hủy mạng botnet này hiện vẫn chưa được kiểm chứng. Trong quá khứ, nhiều mạng botnet khác vẫn tiếp tục phục hồi và hoạt động trở lại sau những vụ đánh sập tương tự. Điển hình là mạng botnet Kelihos, sau ba lần bị phá hủy đã gầy dựng lại và tiếp tục hoạt động.