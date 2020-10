Microsoft heeft tijdens een gezamenlijke operatie met telecomproviders en antivirusbedrijven het Trickbot-botnet verstoord, waarbij het techbedrijf onder andere een beroep deed op het auteursrecht. Het is voor het eerst dat Microsoft het auteursrecht inzet om een botnet te verstoren, maar de softwaregigant verwacht in de toekomst dit vaker te zullen doen.

De eerste versie van Trickbot werd in 2016 waargenomen en betrof een banking Trojan. Het gaat hier om malware speciaal ontwikkeld om gegevens te stelen voor het frauderen met internetbankieren. Niet alleen wisten de ontwikkelaars de afgelopen jaren meer dan een miljoen machines met Trickbot te infecteren, de malware groeide dankzij de modulaire opzet uit tot een veelzijdig gereedschap voor cybercriminelen, zo laat Microsoft weten.

Naast het stelen van wachtwoorden en allerlei andere gegevens werd Trickbot ook ingezet voor het uitrollen van aanvullende malware, waaronder de Ryuk-ransomware. Voor de verspreiding van Trickbot wordt gebruik gemaakt van e-mailbijlagen en andere malware die al op besmette computers aanwezig is, zoals de Emotet-malware. Eenmaal actief op een systeem wordt Trickbot gebruikt voor het starten van tools zoals PowerShell Empire, Metasploit en Cobalt Strike, om zo het netwerk in kaart te brengen. Met name in de Verenigde Staten zijn veel infecties met Trickbot waargenomen, zo laat Microsoft weten.

Tijdens de gezamenlijke operatie tegen Trickbot waren het echter Microsoft, providers en antivirusbedrijven die de infrastructuur van het botnet in kaart brachten. Ook de manier waarop besmette computers met elkaar communiceren en hoe de malware wordt gebruikt om besmette machines aan te sturen werd door de bedrijven inzichtelijk gemaakt.

Trickbot bleek van verschillende hardcoded command & control-servers gebruik te maken voor het downloaden van een lijst met andere control-servers. Daarbij wisten de onderzoekers de ip-adressen van deze servers te achterhalen. Vervolgens stapte Microsoft naar een Amerikaanse rechter die toestemming gaf om deze ip-adressen uit te schalen, aldus Microsoft zelf. Tevens mocht de content op de command & control-servers ontoegankelijk worden gemaakt, alsmede de diensten waar de botnetbeheerder gebruik van maakten. De rechter gaf verder toestemming voor het dwarsbomen van alle pogingen van de Trickbot-operators om extra servers te huren.

In het verzoek aan de rechter deed Microsofts Digital Crimes Unit voor het eerst een beroep op het auteursrecht. Het techbedrijf claimde dat de Trickbot-operators door het gebruik van Microsofts softwarecode inbreuk op het auteursrecht van het bedrijf maakten. "Deze aanpak is een belangrijk stap in onze strijd tegen de verspreiding van malware", zegt Microsofts Tom Burt. Het laat Microsoft namelijk een civiele procedure starten in landen waar er een auteursrechtwetgeving is.

Hoewel een deel van de Trickbot-infrastructuur is uitgeschakeld verwacht Burt dat de Trickbot-operators hun botnet zullen proberen te herstellen. Eigenaren van computers die met Trickbot zijn besmet en tijdens de operatie in kaart werden gebracht zullen via computer emergency readiness teams (CERT's) en internetproviders over de infectie worden geïnformeerd, zodat de malware vervolgens kan worden verwijderd. Aan de operatie deden naast Microsoft ook FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT en Symantec mee.

Update

Een tracker van Abuse.ch met een overzicht van Trickbot-servers laat zien dat een groot aantal servers offline is, maar er ook nog meerdere servers online zijn.