Samsung_03 Samsung_03 Samsung_03 Advertisement

Vírusový radar: Celosvetová operácia proti nebezpečnému botnetu Trickbot

Bezpečnosť
0
Keď sa tento mesiac na Slovensko upieral zrak Európy pre celoplošné testovanie proti koronavírusu a zdravotníci, organizátori či dobrovoľníci mali plné ruky práce s týmto bezprecedentným projektom, v ESETe sme sa tiež zaoberali jednou veľkou akciou. Hoci úplne iného druhu a s úplne iným nebezpečenstvom (v ktorej nešlo o zdravie či dokonca životy), zato sa odohrávala po celom svete a takisto vyvolala záujem svetových médií.

Výskumníci ESETu sa spojili s Microsoftom a ďalšími technologickými firmami a zorganizovali celosvetovú operáciu, ktorej cieľom bolo narušiť sieť infikovaných zariadení (botnetu) Trickbot. Ide o mimoriadne nebezpečný botnet s veľkým množstvom obetí. A okrem toho, že kradne prihlasovacie údaje z infikovaných počítačov, v poslednom čase sa sústredil aj na závažnejšie hrozby – napríklad šírenie ransomvéru. Kriminálnici za Trickbotom napadli dovedna viac ako milión zariadení, a to vrátane počítačov slovenských používateľov.

Išlo o veľmi náročnú operáciu, keďže sa očakávalo, že Trickbot má záložné mechanizmy. Tento botnet je zároveň úzko prepojený s inými veľmi aktívnymi online hrozbami. A hoci v súboji s Trickbotom ešte určite nie je čas na vyvesenie víťaznej zástavy „misia ­splnená“, naše dáta ukazujú, že jeho aktivita je značne pod číslami jeho predchádzajúcej ­výkonnosti. Bez zveličenia pritom môžeme povedať, že išlo o jednu z najaktívnejších rodín škodlivého kódu vôbec a jeden z najväčších a najdlhšie fungujúcich botnetov.

ESET do tejto veľkej operácie prispel technickou analýzou, štatistickými informáciami a doménovými názvami či IP adresami riadiacich a kontrolných serverov. Takýchto dát máme za tie roky zozbieraných neúrekom. Prakticky od jeho objavenia v roku 2016, keď ho naši výskumníci zároveň začali sledovať. Iba za rok 2020 obsahovala naša trickbotovská knižnica škodlivých dát viac ako 125-tisíc vzoriek a podarilo sa nám rozšifrovať viac ako 40-tisíc ­konfiguračných súborov.

Trickbot začínal svoju kriminálnu púť ako bankový malvér, kradnúci napríklad prihlasovacie údaje do internet bankingu. Najmä v poslednom čase však šíril ransomvér, ktorý obsah zariadenia zašifruje a za jeho odblokovanie požaduje výkupné. Ak ste sa stali obeťou ransomvéru z Trickbotu alebo hocijakého ransomvéru, platenie výkupného nie je niečo, čo sa odporúča, keďže zločincov nemôžete brať za slovo, že vám kľúč na dešifrovanie naozaj doručia. Najlepšia je prevencia – kvalitným zabezpečením zariadení, zvyšovaním svojho bezpečnostného povedomia a pravidelným zálohovaním dát.

Samozrejme, ani oslabenie Trickbotu neznamená úplný koniec hrozby botnetov. Už pred začiatkom operácie sťahoval iný mimoriadne nebezpečný botnet Emotet práve ­Trickbot. A naša telemetria ukazuje, že Emotet vymenil Trickbot za Qbot, ako novú snahu v podobe „kriminálneho záchranného lana“. Emotet a iné botnety sa pritom často prenajímajú na stiahnutie iného škodlivého kódu do už infikovaných zariadení.

Hoci vírusov už máme všetci plné zuby, nie iba v kybernetickom, ale aj tom reálnom svete, ostražitosť stále ostáva na mieste. Ostaňte aj v novembri zdraví, rovnako aj vaše IT zariadenia.

 

Branislav Ondrášik, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať