微软将采取行动摧毁一个全球犯罪僵尸网络
10月12日,微软宣布采取法律行动,以摧毁一个利用100多万台僵尸电脑洗劫银行账户并传播勒索软件的大型犯罪网络。专家认为,该犯罪网络对美国总统选举构成重大威胁。
10月6日,微软在弗吉尼亚州联邦法院获得了一项法庭命令,由此启动了攻击全球僵尸网络的离线命令和控制服务器的行动。该网络使用一种名为Trickbot的基础设施,用恶意软件感染电脑。微软认为,这个犯罪网络滥用其商标。
ESET的威胁研究主管让-伊恩•布廷表示:“很难判断其最终效果会如何,但我们相信,它将持续产生影响。”ESET是与微软合作绘制命令和控制服务器地图的几家网络安全公司之一。“我们确信攻击者会注意到,僵尸网络也将很难再回到之前的状态。”他说。
网络安全专家表示,微软利用美国法院的命令来说服互联网供应商关闭僵尸网络服务器,这一点值得称赞。但他们补充说,因为太多的人不会遵循这个建议,因此这个方案不太容易成功。Trickbot的运营商有一个分散管理的备用系统,还使用了加密路由。
Farsight Security公司的总裁保罗•维克西在电子邮件中说:“经验告诉我,这是不可扩展的——大量IP存在于不愿合作的国家中。”网络安全公司Intel 471在10月12日与美联社分享的一份报告中称,Trickbot的操作没有受到重大打击,并预测“中长期将影响不大”。
但网络安全公司Emsisoft的勒索软件专家布雷特•卡洛表示,至少在美国总统选举期间,一个临时的Trickbot得到中断,可以在一定程度上限制攻击,防止勒索软件在已经感染的系统上激活。
布雷特•卡洛的这一声明是在《华盛顿邮报》于10月9日发布一篇报道之后宣布的,该报道称,美国军方网络司令部从上个月开始通过直接攻击(而不是要求在线服务拒绝托管命令控制服务器使用的域名)来摧毁Trickbot,但最终没有成功。
美国的一项名为“持续交战”(persistent engagement)的政策授权美国“网络战士”(cyberwarriors)在网络空间与敌对黑客进行接触,并用代码扰乱他们的行动。2018年美国中期选举期间,一些网络通信公司就曾经这样对付俄罗斯的虚假信息发布者。
Trickbot创建于2016年,正由一个讲俄语的网络罪犯组成的松散联盟使用。它是一个数字上层建筑,用于在个人和网站的电脑中植入恶意软件。最近几个月,其运营商正在越来越多地把Trickbot租给其他犯罪分子,利用它来散布勒索软件,对目标网络的数据进行加密,使其瘫痪,直到受害者付钱为止。
据报道,由Trickbot散布的旗下名为Ryuk的勒索软件,其最大受害者是连锁医院Universal Health Services。该公司说,在上个月的一次攻击中,其在美国的所有250家医疗机构都受到了影响,医生和护士被迫使用纸笔办公。
美国国土安全部官员将勒索软件列为11月3日总统大选的主要威胁。他们担心相关袭击会冻结州或地方的选民登记系统,扰乱投票,或破坏选举结果报告网站。
Trickbot是一个特别强大的“互联网讨厌鬼”。它又被称为“恶意软件服务”,其模块化的结构可以被广泛用作犯罪活动的交付工具。它最初主要是一种所谓的银行木马,通过从网上银行账户窃取凭据,以让犯罪分子转移现金。
但最近,研究人员注意到,越来越多的欺诈者使用Trickbot勒索软件,目标广泛,从市政府到学区和医院,无一幸免。恶意软件实验室Emsisoft的卡洛说,Ryuk和另一种也使用Trickbot传播的勒索软件Conti,在9月主导了对美国公共部门的攻击。
总部在密尔沃基市的网络安全公司Hold Security的创始人亚历克斯•霍尔登密切跟踪了Trickbot的运营商,他表示,报道提到的网络通信中断——包括通过注入代码来混淆其配置——暂时中断了命令和控制服务器与大多数机器人之间的通信。
“但这很难说是决定性的胜利。”他补充说,僵尸网络的反弹带来了新的受害者和勒索软件。(财富中文网)
编译:杨二一
10月12日,微软宣布采取法律行动,以摧毁一个利用100多万台僵尸电脑洗劫银行账户并传播勒索软件的大型犯罪网络。专家认为,该犯罪网络对美国总统选举构成重大威胁。
10月6日,微软在弗吉尼亚州联邦法院获得了一项法庭命令,由此启动了攻击全球僵尸网络的离线命令和控制服务器的行动。该网络使用一种名为Trickbot的基础设施,用恶意软件感染电脑。微软认为,这个犯罪网络滥用其商标。
ESET的威胁研究主管让-伊恩•布廷表示:“很难判断其最终效果会如何,但我们相信,它将持续产生影响。”ESET是与微软合作绘制命令和控制服务器地图的几家网络安全公司之一。“我们确信攻击者会注意到,僵尸网络也将很难再回到之前的状态。”他说。
网络安全专家表示,微软利用美国法院的命令来说服互联网供应商关闭僵尸网络服务器,这一点值得称赞。但他们补充说,因为太多的人不会遵循这个建议,因此这个方案不太容易成功。Trickbot的运营商有一个分散管理的备用系统,还使用了加密路由。
Farsight Security公司的总裁保罗•维克西在电子邮件中说:“经验告诉我,这是不可扩展的——大量IP存在于不愿合作的国家中。”网络安全公司Intel 471在10月12日与美联社分享的一份报告中称,Trickbot的操作没有受到重大打击,并预测“中长期将影响不大”。
但网络安全公司Emsisoft的勒索软件专家布雷特•卡洛表示,至少在美国总统选举期间,一个临时的Trickbot得到中断,可以在一定程度上限制攻击,防止勒索软件在已经感染的系统上激活。
布雷特•卡洛的这一声明是在《华盛顿邮报》于10月9日发布一篇报道之后宣布的,该报道称,美国军方网络司令部从上个月开始通过直接攻击(而不是要求在线服务拒绝托管命令控制服务器使用的域名)来摧毁Trickbot,但最终没有成功。
美国的一项名为“持续交战”(persistent engagement)的政策授权美国“网络战士”(cyberwarriors)在网络空间与敌对黑客进行接触,并用代码扰乱他们的行动。2018年美国中期选举期间,一些网络通信公司就曾经这样对付俄罗斯的虚假信息发布者。
Trickbot创建于2016年,正由一个讲俄语的网络罪犯组成的松散联盟使用。它是一个数字上层建筑,用于在个人和网站的电脑中植入恶意软件。最近几个月,其运营商正在越来越多地把Trickbot租给其他犯罪分子,利用它来散布勒索软件,对目标网络的数据进行加密,使其瘫痪,直到受害者付钱为止。
据报道,由Trickbot散布的旗下名为Ryuk的勒索软件,其最大受害者是连锁医院Universal Health Services。该公司说,在上个月的一次攻击中,其在美国的所有250家医疗机构都受到了影响,医生和护士被迫使用纸笔办公。
美国国土安全部官员将勒索软件列为11月3日总统大选的主要威胁。他们担心相关袭击会冻结州或地方的选民登记系统,扰乱投票,或破坏选举结果报告网站。
Trickbot是一个特别强大的“互联网讨厌鬼”。它又被称为“恶意软件服务”,其模块化的结构可以被广泛用作犯罪活动的交付工具。它最初主要是一种所谓的银行木马,通过从网上银行账户窃取凭据,以让犯罪分子转移现金。
但最近,研究人员注意到,越来越多的欺诈者使用Trickbot勒索软件,目标广泛,从市政府到学区和医院,无一幸免。恶意软件实验室Emsisoft的卡洛说,Ryuk和另一种也使用Trickbot传播的勒索软件Conti,在9月主导了对美国公共部门的攻击。
总部在密尔沃基市的网络安全公司Hold Security的创始人亚历克斯•霍尔登密切跟踪了Trickbot的运营商,他表示,报道提到的网络通信中断——包括通过注入代码来混淆其配置——暂时中断了命令和控制服务器与大多数机器人之间的通信。
“但这很难说是决定性的胜利。”他补充说,僵尸网络的反弹带来了新的受害者和勒索软件。(财富中文网)
编译:杨二一
Microsoft announced legal action on October 12 seeking to disrupt a major cybercrime digital network that uses more than 1 million zombie computers to loot bank accounts and spread ransomware, which experts consider a major threat to the U.S. presidential election.
The operation to knock offline command-and-control servers for a global botnet that uses an infrastructure known as Trickbot to infect computers with malware was initiated with a court order that Microsoft obtained in Virginia federal court on Oct. 6. Microsoft argued that the crime network is abusing its trademark.
“It is very hard to tell how effective it will be but we are confident it will have a very long-lasting effect,” said Jean-Ian Boutin, head of threat research at ESET, one of several cybersecurity firms that partnered with Microsoft to map the command-and-control servers. “We’re sure that they are going to notice and it will be hard for them to get back to the state that the botnet was in.”
Cybersecurity experts said that Microsoft’s use of a U.S. court order to persuade internet providers to take down the botnet servers is laudable. But they add that it’s not apt to be successful because too many won’t comply and because Trickbot’s operators have a decentralized fall-back system and employ encrypted routing.
Paul Vixie of Farsight Security said via email “experience tells me it won’t scale — there are too many IP’s behind uncooperative national borders.” And the cybersecurity firm Intel 471 reported no significant hit on Trickbot operations on October 12 and predicted ”little medium- to long-term impact” in a report shared with The Associated Press.
But ransomware expert Brett Callow of the cybersecurity firm Emsisoft said that a temporary Trickbot disruption could, at least during the election, limit attacks and prevent the activation of ransomware on systems already infected.
The announcement follows a Washington Post report on October 9 of a major — but ultimately unsuccessful — effort by the U.S. military's Cyber Command to dismantle Trickbot beginning last month with direct attacks rather than asking online services to deny hosting to domains used by command-and-control servers.
A U.S. policy called “persistent engagement” authorizes U.S. cyberwarriors to engage hostile hackers in cyberspace and disrupt their operations with code, something Cybercom did against Russian misinformation jockeys during U.S. midterm elections in 2018.
Created in 2016 and used by a loose consortium of Russian-speaking cybercriminals, Trickbot is a digital superstructure for sowing malware in the computers of unwitting individuals and websites. In recent months, its operators have been increasingly renting it out to other criminals who have used it to sow ransomware, which encrypts data on target networks, crippling them until the victims pay up.
One of the biggest reported victims of a ransomware variety sowed by Trickbot called Ryuk was the hospital chain Universal Health Services, which said all 250 of its U.S. facilities were hobbled in an attack last month that forced doctors and nurses to resort to paper and pencil.
U.S. Department of Homeland Security officials list ransomware as a major threat to the Nov. 3 presidential election. They fear an attack could freeze up state or local voter registration systems, disrupting voting, or knock out result-reporting websites.
Trickbot is a particularly robust internet nuisance. Called “malware-as-a-service,” its modular architecture lets it be used as a delivery mechanism for a wide array of criminal activity. It began mostly as a so-called banking Trojan that attempts to steal credentials from online bank account so criminals can fraudulently transfer cash.
But recently, researchers have noted a rise in Trickbot’s use in ransomware attacks targeting everything from municipal and state governments to school districts and hospitals. Ryuk and another type of ransomware called Conti — also distributed via Trickbot — dominated attacks on the U.S. public sector in September, said Callow of Emsisoft.
Alex Holden, founder of Milwaukee-based Hold Security, tracks Trickbot's operators closely and said the reported Cybercom disruption — involving efforts to confuse its configuration through code injections — succeeded in temporarily breaking down communications between command-and-control servers and most of the bots.
“But that’s hardly a decisive victory,” he said, adding that the botnet rebounded with new victims and ransomware.
