A Microsoft publicou ontem (20) uma atualização sobre a derrubada dos servidores do Trickbot. No post, a empresa afirma que após ter trabalhado com parceiros de todo o mundo, houve eliminação de 94% da estrutura operacional do Trickbot.

Na semana passada, uma coalizão de empresas de segurança cibernética, liderada pela Microsoft,  orquestrou esta operação contra um dos maiores botnets de malware e operações de crimes cibernéticos da atualidade.

Mesmo com a Microsoft tendo derrubado a infraestrutura do TrickBot nos primeiros dias, o botnet sobreviveu e os operadores da rede colocaram novos servidores de comando e controle (C&C) online, a fim de manter a capacidade de executar crimes cibernéticos.

Na atualização, a Microsoft falou sobre uma segunda onda de ações contra o TrickBot. A empresa explicou que destruiu a infraestrutura lentamente, e a porcentagem de 94% inclui os servidores originais e os novos colocados online após a primeira remoção.
 
"Desde o momento em que começamos nossa operação até 18 de outubro, retiramos 120 dos 128 servidores que identificamos como infraestrutura Trickbot em todo o mundo",  disse Tom Burt , Vice-Presidente de Segurança e Confiança do Cliente da Microsoft.
 
Segundo Burt, o total de servidores se divide em 69 servidores TrickBot C&C originais, dos quais 62 caíram, e 59 servidores que o TrickBot tentou colocar online após a queda da semana passada, dos quais 58 foram derrubados.

Os sete servidores que não puderam ser desativados na semana passada foram descritos como dispositivos da Internet das Coisas (IoT).
 
O motivo pelo qual esses sistemas não puderam ser retirados imediatamente foi que eles não estavam localizados dentro de empresas de hospedagem na web e centros de dados, e o contato com os proprietários dos dispositivos não foi bem-sucedido.

A coordenação adicional era necessária com os provedores de serviços de Internet locais, mas segundo a Microsoft, esses dispositivos estão em processo de desativação.

Microsoft/Reprodução
 

Burt creditou a resposta rápida da Microsoft à segunda onda de infraestrutura de servidor TrickBot aos advogados da empresa, que agiram rapidamente e solicitaram novas ordens judiciais para que esses novos servidores fossem retirados em poucos dias.

Atualmente, o botnet TrickBot ainda está vivo, embora bastante fragilizado. No entanto, os servidores de comando e controle que ainda estão ativos permitem que os operadores do TrickBot mantenham o controle de sua horda de dispositivos infectados.
 
De acordo com a empresa de segurança cibernética Intel 471, os últimos remanescentes do TrickBot C&C estão localizados no Brasil, Colômbia, Indonésia e Quirguistão.