Por: Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente.
Hace unos días, anunciamos una interrupción dirigida al botnet Trickbot. Trickbot es una red de servidores y dispositivos infectados manejada por criminales que son responsables de un amplio rango de actividades nefastas, incluida la distribución de ransomware que puede bloquear sistemas computacionales. Nuestra interrupción tiene la intención de inhabilitar la infraestructura de Trickbot, y dificultar a sus operadores habilitar ataques de ransomware, que ha sido identificada como una de las más grandes amenazas para las próximas elecciones de Estados Unidos. Hemos recibido muchas solicitudes de actualización sobre esta operación, así que me gustaría compartir más de lo que ha sucedido.
A partir del 18 de octubre, hemos trabajado con socios de todo el mundo para eliminar 94% de la infraestructura operativa crítica de Trickbot, incluidos los servidores de comando y control, que estaban en uso al momento que iniciaron nuestras acciones, y la nueva infraestructura que Trickbot intentaba poner en línea.
Así es como se desglosan los números. En un inicio identificamos 69 servidores alrededor del mundo que eran centrales para las operaciones de Trickbot, y deshabilitamos 62 de ellos. Los siete servidores restantes no son servidores de comando y control tradicionales, sino dispositivos de internet de las cosas (IoT) que Trickbot infectó y que utilizaba como parte de su infraestructura de servidor; estos se encuentran en proceso de ser inhabilitados. Como se esperaba, los criminales que operan a Trickbot se apresuraron a reemplazar la infraestructura que inhabilitamos en un principio. Rastreamos de cerca su actividad e identificamos 59 nuevos servidores que intentaron añadir a su infraestructura. Ya hemos inhabilitado todos los servidores menos uno. En resumen, desde el momento que comenzamos nuestra operación, hasta el 18 de octubre de 2020, hemos eliminado 120 de los 128 servidores que identificamos como infraestructura de Trickbot en todo el mundo.
Para ser claro, estos números cambiarán de manera regular, ya que esperamos que las acciones que ya hemos realizado van a continuar con el impacto hacia la infraestructura restante y a medida que otros, y nosotros, tomamos acciones entre hoy y las elecciones. Esta es una labor desafiante, y no siempre hay una línea recta al éxito. Al mismo tiempo, nos complace nuestro progreso y por muchas razones, me siento optimista respecto a los resultados que podremos conseguir.
Primero, Microsoft y nuestros socios tratamos de tomar un enfoque persistente y por capas para hacer frente a las operaciones de Trickbot en todo el mundo. Esto es necesario debido a la arquitectura única del botnet Trickbot, y a la creatividad y persistencia de los criminales que lo operan. Desde la orden inicial de la corte que obtuvimos, hemos regresado a la corte para garantizar órdenes subsecuentes para eliminar la recién activada infraestructura. Continuaremos con esto entre hoy y el día de la elección, el 3 de noviembre. Además, nuestros socios y los proveedores de alojamiento con los que trabajamos, que han sido cruciales para nuestro progreso, han compartido información que ha puesto al descubierto más servidores de comando y control. A medida que continuamos con la eliminación de estos nuevos servidores, nuestros socios también trabajan para limpiar y remediar a los dispositivos IoT comprometidos, en especial los routers, que los operadores de Trickbot utilizan como infraestructura de comando y control no tradicional. Estos routers comprometidos presentan un desafío único para los proveedores de servicios de internet (ISP, por sus siglas en inglés), ya que deben trabajar de manera simultánea para remediar a los dispositivos mientras mantienen sin interrupciones al tráfico legítimo, y esta delicada labor está en desarrollo. Por último, trabajamos con ISPs y otros para también limpiar dispositivos que podrían estar infectados, en hogares y negocios de las personas.
Segundo, esta labor siempre se ha tratado de interrumpir las operaciones de Trickbot durante los picos de actividad electoral: para hacer lo que podamos para tomar acciones en un momento crítico, y nos sentimos alentados por lo que hemos visto. Cada vez que es eliminada la infraestructura de servidor de un botnet, el intento de reconstruir no es tan simple como configurar nuevos servidores. Los nuevos servidores necesitan ser aprovisionados para comenzar a hablar con los dispositivos infectados del botnet y para la emisión de comandos, y todo esto lleva tiempo. Hemos identificado nuevos servidores de Trickbot, ubicado a su respectivo proveedor de alojamiento, determinado la metodología legal apropiada para tomar acciones, e inhabilitado por completo esos servidores en menos de tres horas. Nuestra coordinación global ha permitido a un proveedor tomar acciones rápidas tan pronto como le notificamos: en un caso, en menos de seis minutos. Lo que hemos visto sugiere que el enfoque principal de Trickbot se ha convertido en la creación de nueva infraestructura, en lugar de iniciar ataques nuevos, y ha tenido que recurrir a otro lugar en busca de ayuda operativa.
De hecho, nosotros y otros, hemos detectado a los operadores de Trickbot en su intento de utilizar a un sindicato criminal competidor para eliminar lo que, con anterioridad, eran cargas útiles de Trickbot. Esta es una de las muchas señales que nos sugieren que, al ver su infraestructura crítica bajo repetidos ataques, los operadores de Trickbot luchan por encontrar nuevas maneras de mantenerse activos. Si bien un arreglo con otros actores no permitirá a Trickbot igualar sus capacidades propias, también es un recordatorio de que hay muchas amenazas para mantener seguro al ciberespacio y es importante para las personas, en especial para aquellos involucrados en la seguridad de nuestros procesos electorales, mantenerse vigilantes. Es por eso que ofrecemos a aquellos involucrados en las elecciones, herramientas como AccountGuard, Microsoft 365 for Campaigns, y Election Security Advisors.
En tercer lugar, tenemos al equipo y al trabajo adecuados para continuar con el impacto en las próximas semanas. Nuestra Unidad de Crímenes Digitales ha pasado años en el estudio, documentación y clasificación de la infraestructura de Trickbot, para identificar qué comando y control son servidores tradicionales y cuáles son dispositivos IoT. Creemos que entendemos los detalles correctos sobre la infraestructura de Trickbot para enfocar nuestra atención en los servidores específicos de comando y control, que permiten el más alto grado de interrupción. Lo que es más importante, nuestra red global de socios monitorea las actividades de Trickbot, y comparte información durante todo el día. Y tenemos miembros de nuestra Unidad de Crímenes Digitales, alrededor del mundo, en contacto directo con los ISP y las empresas de telecomunicaciones locales.
Esperamos con certeza que los operadores de Trickbot van a continuar su búsqueda de formas de mantener sus operaciones, y nosotros y nuestros socios vamos a continuar el monitoreo y las acciones hacia ellos. Invitamos a otros en la comunidad de seguridad, que creen en proteger las elecciones, a que se unan al esfuerzo y compartan su inteligencia directo con los proveedores de alojamiento e ISPs, que pueden desconectar la infraestructura de Trickbot. A medida que esta labor continúa, será importante enfocarse en el impacto colectivo hacia las capacidades de Trickbot entre hoy las elecciones, en lugar de centrarse en instantáneas simplificadas, que pueden ser engañosas, de cualquier momento en el tiempo.
