La ciberseguridad hoy en día tiene un papel sobre la mesa mucho más prioritario después de que la COVID-19 pusiera en riesgo a multitud de países, entre ellos España. Microsoft y otras empresas directamente implicadas con la lucha contra el malware han actuado contra uno muy peligroso: TrickBot.

Tal y como informa ZDNet, Microsoft se ha unido en una coalición de empresas de tecnología para acabar con la infraestructura principal del malware botnet TrickBot. Concretamente, esta coalición incluye entre otros a los equipos de Windows Defender de Microsoft, la ESET, Black Lotus e incluso la división de seguridad cibernética de Broadcom, Symantec.

Hoy han anunciado un esfuerzo coordinado de meses de duración para acabar con un botnet que ya había atacado a más de un millón de ordenadores. Algunos de estos sistemas contenían dispositivos IoT o Internet of Things, que implicaba una interacción con usuarios externos a los aparatos afectados.

Ataque a TrickBot

Logo de Microsoft.

El proceso ha sido largo y laborioso. ESET, Symantec, Microsoft y el resto de sus socios han pasado los últimos meses recolectando más de 125.000 muestras de TrickBot para analizar su contenido y extraer toda la información sobre su funcionamiento interno para mapearla. En esta información se incluyen todos los servidores que este botnet usó para controlar estos ordenadores infectados.

Este mismo mes de octubre Microsoft acudió a los tribunales para pedir a un juez que le concediera el control sobre los servidores de TrickBot. El tribunal, según Microsoft, ha otorgado dicha aprobación para que "deshabiliten las direcciones IP, hagan inaccesible el contenido almacenado en los servidores de comando y control, suspendan todos los servicios a los operadores de los botnets y bloqueen cualquier esfuerzo de los operadores del malware para comprar o arrendar servicios adicionales".

Notificar a los usuarios

Representación de una persona hackeada. Pedro Moya Omicrono

El problema ahora reside en notificar a los usuarios infectados. Para ello, se están realizando esfuerzos conjuntos entre la coalición y los proveedores de servicios de Internet así como los equipos de preparación para emergencias informáticas (CERT) de todo el mundo. Un problema titánico, dado que este botnet ha sido uno de los más grandes de la actualidad.

El malware empezó su andadura en 2016 en forma de troyano bancario. Posteriormente, se convirtió en un malware capaz de descargar código malicioso que tenía múltiples funciones; era capaz de infectar sistemas enteros y proporcionar acceso a otros grupos de hackers usando un modelo comercial llamado MaaS (Malware-as-a-Service).

Prueba de esto es el hecho de que esta plataforma fuera usada para alquilar acceso de dispositivos infectados a bandas de ransomwares mundialmente conocidos, como Conti o la infame Ryuk.

La caída de TrickBot es un logro para la ciberseguridad no solo por su envergadura, sino por ser el segundo botnet de malware más importante que se ha eliminado este año después de Necurs, en marzo de este mismo año. No obstante, muchas otras redes de bots han sobrevivido a ataques similares, como Kelihos, que sobrevivió a hasta 3 intentos de eliminación.