Vírusový radar: Celosvetová operácia proti nebezpečnému botnetu Trickbot
Výskumníci ESETu sa spojili s Microsoftom a ďalšími technologickými firmami a zorganizovali celosvetovú operáciu, ktorej cieľom bolo narušiť sieť infikovaných zariadení (botnetu) Trickbot. Ide o mimoriadne nebezpečný botnet s veľkým množstvom obetí. A okrem toho, že kradne prihlasovacie údaje z infikovaných počítačov, v poslednom čase sa sústredil aj na závažnejšie hrozby – napríklad šírenie ransomvéru. Kriminálnici za Trickbotom napadli dovedna viac ako milión zariadení, a to vrátane počítačov slovenských používateľov.
Išlo o veľmi náročnú operáciu, keďže sa očakávalo, že Trickbot má záložné mechanizmy. Tento botnet je zároveň úzko prepojený s inými veľmi aktívnymi online hrozbami. A hoci v súboji s Trickbotom ešte určite nie je čas na vyvesenie víťaznej zástavy „misia splnená“, naše dáta ukazujú, že jeho aktivita je značne pod číslami jeho predchádzajúcej výkonnosti. Bez zveličenia pritom môžeme povedať, že išlo o jednu z najaktívnejších rodín škodlivého kódu vôbec a jeden z najväčších a najdlhšie fungujúcich botnetov.
ESET do tejto veľkej operácie prispel technickou analýzou, štatistickými informáciami a doménovými názvami či IP adresami riadiacich a kontrolných serverov. Takýchto dát máme za tie roky zozbieraných neúrekom. Prakticky od jeho objavenia v roku 2016, keď ho naši výskumníci zároveň začali sledovať. Iba za rok 2020 obsahovala naša trickbotovská knižnica škodlivých dát viac ako 125-tisíc vzoriek a podarilo sa nám rozšifrovať viac ako 40-tisíc konfiguračných súborov.
Trickbot začínal svoju kriminálnu púť ako bankový malvér, kradnúci napríklad prihlasovacie údaje do internet bankingu. Najmä v poslednom čase však šíril ransomvér, ktorý obsah zariadenia zašifruje a za jeho odblokovanie požaduje výkupné. Ak ste sa stali obeťou ransomvéru z Trickbotu alebo hocijakého ransomvéru, platenie výkupného nie je niečo, čo sa odporúča, keďže zločincov nemôžete brať za slovo, že vám kľúč na dešifrovanie naozaj doručia. Najlepšia je prevencia – kvalitným zabezpečením zariadení, zvyšovaním svojho bezpečnostného povedomia a pravidelným zálohovaním dát.
Samozrejme, ani oslabenie Trickbotu neznamená úplný koniec hrozby botnetov. Už pred začiatkom operácie sťahoval iný mimoriadne nebezpečný botnet Emotet práve Trickbot. A naša telemetria ukazuje, že Emotet vymenil Trickbot za Qbot, ako novú snahu v podobe „kriminálneho záchranného lana“. Emotet a iné botnety sa pritom často prenajímajú na stiahnutie iného škodlivého kódu do už infikovaných zariadení.
Hoci vírusov už máme všetci plné zuby, nie iba v kybernetickom, ale aj tom reálnom svete, ostražitosť stále ostáva na mieste. Ostaňte aj v novembri zdraví, rovnako aj vaše IT zariadenia.
