![\"\"](\"https:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2020\/10\/Trip-300x148.png\")
<\/p>\n<\/p>\n
El pasado 12 de octubre Microsoft lider\u00f3 una operaci\u00f3n para desarticular Trickbot bajo el amparo de una orden judicial, concedida a las puertas de las elecciones presidenciales de EEUU previstas para el pr\u00f3ximo 3 de Noviembre, donde el ransomware es una de las principales preocupaciones.<\/p>\n
<\/p>\n
Entre otros motivos de alegaci\u00f3n durante el caso, Microsoft incluy\u00f3 losderechos de autorcontra el uso malicioso de su software por parte de Trickbot, sembrando as\u00ed un precedente que podr\u00eda agilizar acciones futuras. Microsoft y otras firmas entre las que se encuentran ESET, Lumen\u2019s Black Louts Labs, NTT Ltd. y Symantec, obtuvieron as\u00ed permiso para deshabilitar las direcciones IP empleadas por los servidores de C&C, interrumpir el acceso al contenido almacenado en los servidores afectados, suspender servicios a los operadores de la botnet y bloquear cualquier intento de los operadores Trickbot para comprar o alquilar nuevos servidores<\/strong>.<\/p>\n Trickbot se caracteriza por ser un malware modular<\/strong> t\u00edpicamente compuesto de: wrapper<\/em>, loader <\/em>(cargador) y un m\u00f3dulo de malware principal. Permite a su vez el uso de diferentes m\u00f3dulos \/ plugins<\/em> que van ampli\u00e1ndose en sucesivas versiones para mejorar la funcionalidad. El wrapper <\/em>se usa para evadir las t\u00e9cnicas de detecci\u00f3n, ejecutando el cargador en memoria, que preparar\u00e1 el equipo para la ejecuci\u00f3n del malware principal. Los m\u00f3dulos de Trickbot permiten, entre otras funciones, la obtenci\u00f3n de informaci\u00f3n del sistema y red del equipo comprometido, robo de datos y credenciales, la ejecuci\u00f3n de comandos<\/strong> y<\/strong> la propagaci\u00f3n a otras redes<\/strong>. Adem\u00e1s, los operadores Trickbot pueden instalar herramientas adicionales como Cobalt Strike<\/strong>, y hacer uso de PowerShell Empire, PSExec y AdFind para instalar otro malware en el equipo, como es el caso del ya conocido ransomware Ryuk<\/strong>, del que han sido v\u00edctimas numerosas organizaciones, incluyendo centros de investigaci\u00f3n m\u00e9dica, hospitales y universidades.<\/p>\n Emotet, TrickBot y Ryuk. Fuente: EDSI Trend<\/p>\n Uno de los plugins m\u00e1s antiguos empleados por Trickbot es web injects<\/em><\/strong>, que permite al malware cambiar din\u00e1micamente la web visitada por el equipo comprometido. Para funcionar, este plugin emplea ficheros de configuraci\u00f3n espec\u00edficos para un conjunto de webs, estando la mayor\u00eda de los ficheros identificados dirigidos a instituciones financieras conforme al informe publicado por ESET<\/strong>, que tambi\u00e9n vincula esta operativa y la flexibilidad proporcionada por Trickbot con el ransomware.<\/p>\n Por otro lado, en el informe publicado por Microsoft se destacan m\u00faltiples campa\u00f1as simult\u00e1neas de Trickbot identificadas durante el mes de junio<\/strong>, donde la complejidad en el uso de t\u00e9cnicas refuerzan la creencia de que est\u00e1 siendo usado por grupos organizados. Precisamente, es el resultado de esta investigaci\u00f3n junto con la preocupaci\u00f3n de que el ransomware <\/strong>empa\u00f1e las presidenciales de Noviembre lo que ha impulsado la toma de medidas para la neutralizaci\u00f3n del malware.<\/p>\n Campa\u00f1as, t\u00e1cticas y t\u00e9cnicas empleadas por los operadores Trickbot. Fuente: Microsoft.<\/p>\n No obstante, esta victoria debe tomarse con cautela. Conforme Feodo Tracker<\/strong>, sitio web especializado en el seguimiento de botnets, a\u00fan existen servidores TrickBot operativos, como ya apuntaba la noticia publicada en KebsOnSecurity del pasado lunes. Si comparamos la siguiente imagen con la que aparece en el citado post, se aprecia un descenso considerable en el n\u00famero de servidores de control Trickbot online, en tan s\u00f3lo tres d\u00edas.<\/p>\n Extracto de servidores de control Trickbot, b\u00fasqueda 14 de Octubre 2020. Fuente: Feodotracker.abuse.ch<\/p>\n En la noticia tambi\u00e9n se incluyen extractos del informe publicado por el grupo de ciberinteligencia Intel 471<\/strong> al respecto de las acciones de Microsoft. En dicho informe se destaca que esta operaci\u00f3n podr\u00eda tener s\u00f3lo impacto a corto plazo, debido fundamentalmente a dos factores: el uso de EmerDNS y Tor. EmerDNS es un sistema de nombres de dominio descentralizado que protege ante cualquier tipo de censura de acuerdo a la descripci\u00f3n de sus creadores, Emercon. Esto hace que los dominios no puedan ser alterados, revocados o suspendidos por ning\u00fan usuario que no sea el propio creador del dominio.<\/strong> Por otra parte, los mecanismos de C&C soportan Tor, por lo que s\u00f3lo la cooperaci\u00f3n entre m\u00faltiples entidades y pa\u00edses podr\u00eda contribuir a la identificaci\u00f3n efectiva de las fuentes. Tal vez sea \u00e9ste \u00faltimo factor el escal\u00f3n m\u00e1s dif\u00edcil de superar, considerando adem\u00e1s los intereses contrapuestos de los implicados.<\/p>\n Fuente: UNaaldia<\/strong><\/p>\n Tomado de Segurm\u00e1tica<\/a>.<\/p>\n El pasado 12 de octubre Microsoft lider\u00f3 una operaci\u00f3n para desarticular Trickbot bajo el amparo de una orden judicial, concedida a las puertas de las elecciones presidenciales de EEUU previstas para el pr\u00f3ximo 3 de Noviembre, donde el ransomware es … Sigue leyendo Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"