微软与其他安全公司合作摧毁了臭名昭著的 Trickbot 勒索软件僵尸网络

由FS-ISAC，ESET，Lumen’s Black Lotus Labs，NTT，Symantec和微软联合开展的旨在摧毁TrickBot僵尸网络的联合行动。

微软的Defender团队，FS-ISAC，ESET，Lumen’s Black Lotus Labs，NTT和 Broadcom的网络安全部门Symantec联合起来，并于昨天宣布协同努力，摧毁臭名昭著的TrickBot僵尸网络的指挥和控制基础设施。

几个月来，参与摧毁的专家一直支持对TrickBot后端基础设施的调查。

“通过监视Trickbot活动，我们收集了成千上万个不同的配置文件，使我们能够了解Trickbot运营商针对哪些网站。目标URL大多属于金融机构，” ESET威胁研究主管Jean-Ian Boutin说道。
“试图破坏这种难以捉摸的威胁非常具有挑战性，因为它具有各种后备机制，而且与地下其他活跃的网络犯罪分子的相互联系使整个行动极为复杂。”

安全公司已经收集了超过125,000个TrickBot恶意软件样本，并绘制了命令和控制基础结构图。TrickBot僵尸网络被安全专家认为是最大的僵尸网络之一。

全世界的Internet服务提供商（ISP）和计算机应急准备小组（CERT）也通过通知所有受感染的用户来支持该操作。

该安全公司收集的信息被Microsoft用来获得撤除TrickBot服务器的授权书。

“美国弗吉尼亚州东区地区法院批准了我们要求法院下令停止Trickbot运营的请求后，我们采取了今天的行动。”阅读Microsoft发布的帖子。
“有了这些证据，法院批准微软和我们的合作伙伴禁用IP地址，使存储在指挥和控制服务器上的内容无法访问，暂停僵尸网络运营商的所有服务，并阻止TrickBot运营商购买或租赁额外服务器的任何努力。”

这是继3月份Necur One之后，今年第二次大规模的僵尸网络攻击行动。

微软指出，这一撤换代表了其DCU首次使用的一种新的法律手段，其中包括对非法使用这家IT巨头软件代码的Trickbot运营商提出的版权索赔。微软选择了这种方式，对僵尸网络运营商采取民事诉讼，并保护其在世界各地的客户。

根据参与行动的安全公司的说法，TrickBot僵尸网络在被拿下时已经感染了100多万台设备。

Trickbot自2016年以来一直活跃，当时作者设计它是为了窃取银行凭证。多年来，威胁不断演变，其运营商实施了模块化结构，允许他们以恶意软件即服务的形式提供威胁。Trickbot的基础设施被骗子用来破坏系统和进行人工操作的战役，特别是它被用来部署Ryuk勒索软件。

该恶意软件最初始于2016年，最初是一个银行特洛伊木马程序，然后转移到一个多用途恶意软件下载器，该程序会感染系统，并使用一种名为MAAS(恶意软件即服务)的商业模式为其他犯罪集团提供访问权限。

TrickBot运营商还部署了银行特洛伊木马和窃取信息的特洛伊木马，并为专注于诈骗和网络间谍活动的骗子提供对企业网络的访问。

“针对Trickbot的行动是微软针对威胁提供现实世界保护的方式之一。这一行动将保护范围广泛的组织，包括金融服务机构、政府、医疗保健和其他垂直领域，使其免受通过Trickbot基础设施提供的恶意软件和人为活动的影响。“微软总结道。