Một mạng botnet khét tiếng nhất thế giới, chuyên phân phối ransomware vừa bị Microsoft và các đồng minh hạ gục

TrickBot, một trong những mạng botnet hoạt động tích cực nhất, đồng thời gây thiệt hại nghiêm trọng nhất từng được ghi nhận trên toàn thế giới, gần đây đã phải hứng chịu một số chiến dịch tấn công có sức nặng từ các tổ chức an ninh mạng quốc tế nhằm mục đích làm gián đoạn hoạt động cũng như thu hẹp phạm vi ảnh hưởng của nó.

Hôm nay, Microsoft, một trong những đơn vị chính tham gia tích cực vào chiến dịch đánh phá TrickBot, vừa chính thức thông báo đã làm gián đoạn thành công hoạt động của botnet khét tiếng này ở thời điểm hiện tại. Cùng với tự giúp sức từ các tổ chức an ninh mạng quốc tế nổi tiếng khác bao gồm Digital Crimes Unit (DCU), ESET, Lumen’s Black Lotus Labs, NTT Ltd, Broadcom's Symantec, Financial Services Information Sharing and Analysis Center (FS-ISAC)... Microsoft đã gỡ bỏ thành công cơ sở hạ tầng quan trọng của Trickbot, khiến những kẻ khai thác phần mềm độc hại không còn có thể sử dụng cơ sở hạ tầng này để phân phối phần mềm độc hại, đặc biệt là mã độc tống tiền (ransomware).

Trickbot không phải là một phần mềm độc hại đơn giản có thể được phát hiện bởi bất kỳ phần mềm chống virus miễn phí nào. Nó nguy hiểm ở chỗ liên tục phát triển và ẩn mình hiệu quả trong thiết bị bị lây nhiễm.

Sau khi lây lan và âm thầm chạy trên máy tính của nạn nhân, mã độc sẽ tự tải xuống các mô-đun khác nhau để tiến hành đánh cắp dữ liệu và những hành vi xấu. TrickBot thường được phát tán qua các email spam có chứa các đường link hoặc tập tin độc hại. Khi được cài đặt, mã độc này sẽ bí mật chạy trên máy tính của nạn nhân, tự tải xuống các thành phần khác để phục vụ những mục đích xấu khác nhau.

Mã độc TrickBot thường xuyên tập trung khai thác cơ sở dữ liệu Active Directory Services của tên miền, thu thập mật khẩu và cookie của trình duyệt, đánh cắp các khóa OpenSSH và lây lan ngang qua mạng. Tệ hơn, khi kết thúc cuộc tấn công của mình TrickBot còn cấp quyền truy cập máy tính của nạn nhân cho các ransomware như Ryuk và Conti.

Trong thời gian tới, những kẻ điều hành mã độc sẽ cố gắng nối lại hoạt động của mạng botnet để tiếp tục hành vi độc hại. Các tác nhân đằng sau Emotet, Trickbot và Ryuk là đều những tên tội phạm mạng chuyên nghiệp, đang điều hành các hoạt động với phạm vi toàn cầu, thu về số lợi nhuận lớn, và sẽ không dễ để chúng từ bỏ công việc “hái ra tiền” này. Do đó, đây sẽ vẫn là một cuộc chiến dai dẳng.