Sreda, 14. 10. 2020, 16.08
4 leta, 2 meseca
Stopili na prste zloglasnemu omrežju ugrabljenih računalnikov Trickbot
Konec velike kibernetske grožnje za vse nas
Omrežje Trickbot je bilo eno od najbolj dejavnih razširjevalcev izsiljevalske programske opreme, njegovo onemogočanje pa je skupna zmaga strokovnjakov računalniške varnosti in telekomunikacijskih operaterjev.
Zlonamerno omrežje Trickbot je sedaj odrezano od ključne infrastrukture, kar za uporabnike pomeni, da računalniški kriminalci prek Trickbota ne bodo več mogli povzročati novih okužb niti aktivirati izsiljevalskih programov, ki so jih že uspeli namestiti na napadene računalnike.
Dobra štiri leta vedno večjega kibernetskega kriminala
Akcijo je vodila Microsoftova enota za kibernetsko varnost s sodelovanjem telekomunikacijskih operaterjev po vsem svetu. Odklop Trickbota so dosegli tako s tehničnimi sredstvi in ukrepi kot s sodnim nalogom.
Trickbot je dejaven že od leta 2016, v tem času pa je okužil več kot milijon računalniških naprav v finančnih in zdravstvenih ustanovah, vladnih agencijah, podjetjih, univerzah in drugod. Svoje nečedno početje je sprva in tudi potem uspešno izvajal na spletnem bančništvu po vsem svetu, s čimer so nepridipravi kradli tako posameznikom kot finančnim ustanovam.
Razširjenost napadov zlonamernega omrežja Trickbot
Od preprostega bančnega trojanca do razpredenega modularnega omrežja
Od bančnega trojanca se je Trickbot hitro razvil v obsežno omrežje modularnega zlonamernega programja, ki je delovalo kot storitev na zahtevo. Z njim so se kradli podatki za dostop do legitimnih digitalnih storitev, predvsem finančnih, in podatkovne zbirke, ravno tako pa so se s tem razširjali različni izsiljevalski programi (ransomware). Samo pri Microsoftovi enoti za kibernetsko varnost so obravnavali dobrih 61 tisoč različic zlonamernega programja, ki so bile del omrežja Trickbot.
Odklop Trickbota je posebej pomemben za ZDA, kjer je njegova odstranitev pomembna tudi za ohranitev varnosti volilne infrastrukture, ki je v zdajšnjem času, le dobra dva tedna pred ameriškimi predsedniškimi volitvami, izjemno privlačna tarča za napade in zlorabe.
Napadajo celo bolnišnice, zaradi česar so tudi smrtne žrtve
Eden od načinov delovanja omrežja Trickbot je bilo tudi širjenje izsiljevalske programske opreme Ryuk, katere žrtve so bile mnoge javne in zasebne ustanove. Med njimi je bila tudi nemška bolnišnica, kjer je ohromitev računalniškega omrežja povzročila smrt bolnice, ki je potrebovala urgentno zdravljenje.
Trickbot se je uspešno nameščal na napadene žrtve zaradi najbolj preproste napake, ki jo uporabniki lahko naredijo: z odpiranjem spletnih povezav ali priponk v e-sporočilih neznanih pošiljateljev, kjer je bila skrita zlonamerna programska koda.
Stara metoda še vedno deluje: lažna in zavajajoča e-sporočila
Med priponkami so bila to praviloma besedila v datotekah urejevalnika Word ali razpredelnice urejevalnika Excel, e-sporočilo pa jih je v to neprevidno ravnanje zvabilo, češ da gre za obvestilo o prejetem nakazilu ali dostavi. Izkoriščali so tudi aktualne svetovne dogodke, med drugim trenutno pandemijo bolezni covid-19, ko so uporabniki manj previdni pri odpiranju priponk.
Možni načini delovanja zlonamernega programja oimrežja Trickbot
Velikokrat so takšna zavajajoča sporočila pošiljali z računalnikov, ki so jih že prej uspešno ugrabili, pri tem pa največkrat niso ciljali specifičnih uporabnikov, temveč so svoje lovke sejali vzdolž in počez.