Microsoft adota novas medidas para combater ransomware antes das eleições americanas

Em resposta à preocupação do governo dos EUA e de especialistas independentes sobre a grande ameaça representada pelo ransomware nas próximas eleições, a Microsoft aplicou, por meio de uma ordem judicial, medidas técnicas em colaboração com provedores de telecomunicações de todo o mundo para interromper as operações de uma botnet chamada Trickbot, uma das botnets e distribuidoras de ransomware mais conhecidas e atuantes, tendo impactado até o momento mais de 1 milhão de vítimas em todo o mundo desde o final de 2016. A companhia isolou a infraestrutura principal, de modo que os operadores da Trickbot não sejam capazes de iniciar novas infecções nem ativar ransomwares já instalados em computadores.

Os adversários poderiam usar o ransomware para infectar computadores usados para armazenar os registros eleitorais e para enviar os resultados na noite das eleições, e apoderar-se desses sistemas em um determinado momento para semear caos e desconfiança. Além de proteger a infraestrutura eleitoral contra ataques de ransomware, as medidas implementadas hoje pela Microsoft protegerão uma grande variedade de organizações, como instituições de serviços financeiros, agências governamentais, centros de saúde, empresas e universidades, contra as várias infecções por malware causadas pela Trickbot.  

A botnet Trickbot

A Microsoft e seus parceiros (ISPs e CERTs locais) conseguiram identificar que parte da infraestrutura criminosa estava localizada na Argentina, Brasil, Colômbia, Equador, Paraguai e Uruguai, afetando dispositivos Internet das Coisas (IoT) em toda a região. Embora a identidade exata dos operadores ainda seja desconhecida, pesquisas sugerem que eles servem tanto a estados-nações quanto a redes criminosas em uma variedade de objetivos.

No decorrer das investigações da Microsoft sobre a Trickbot, analisamos aproximadamente 61.000 amostras do malware Trickbot. O que o torna tão perigoso é que ele tem capacidades modulares que evoluem constantemente, infectando vítimas para os propósitos dos operadores por meio de um modelo de "Malware como um Serviço”. Seus operadores poderiam fornecer acesso a máquinas infectadas e oferecer a seus clientes um mecanismo de entrega para muitas formas de malware, incluindo ransomware. Além de infectar computadores de usuários finais, a Trickbot também infectou uma série de dispositivos de Internet das Coisas, como roteadores, que ampliaram o alcance da Trickbot para residências e organizações.

"Além de manter capacidades modulares para uma variedade de finalidades, os operadores provaram-se hábeis em mudar as técnicas com base nos progressos da sociedade. As campanhas de spam e spearphishing da Trickbot usadas para distribuir malware incluíram tópicos como Black Lives Matter e Covid-19, levando as pessoas a clicar em documentos ou links mal-intencionados. Com base nos dados que vemos através da Detecção Avançada de Ameaças do Microsoft Office 365, a Trickbot tem sido a operação de malware mais atuante usando chamarizes com o tema da Covid-19".

Componentes de interrupção e nova estratégia legal

A Microsoft afirmou que tomou providências depois que o Tribunal Distrital dos Estados Unidos para o Distrito Oriental da Virgínia concedeu nosso pedido de uma ordem judicial para deter as operações da Trickbot. Durante a investigação que sustentou o caso, a Microsoft afirma que conseguiu identificar detalhes operacionais que incluem a infraestrutura que a Trickbot usou para se comunicar e controlar computadores das vítimas, a maneira como os computadores infectados se comunicam uns com os outros e os mecanismos da Trickbot para evitar a detecção e as tentativas de interromper seu funcionamento. "Ao observarmos os computadores infectados se conectarem e receberem instruções de servidores de comando e controle, conseguimos identificar os endereços IP precisos daqueles servidores. Com essa evidência, o tribunal concedeu a aprovação para que a Microsoft e nossos parceiros desativem os endereços IP, tornem inacessível o conteúdo armazenado nos servidores de comando e controle, suspendam todos os serviços para os operadores do botnet e bloqueiem qualquer esforço dos operadores da Trickbot para comprarem ou alugarem servidores adicionais", informa nota.

Para executar essa ação, a Microsoft formou um grupo internacional de provedores do setor e de telecomunicações. "Nossa Unidade de Crimes Digitais (DCU) liderou os esforços de investigação, incluindo detecção, análise, telemetria e engenharia reversa, com dados adicionais e insights para fortalecer nosso caso jurídico de uma rede global de parceiros, incluindo FS-ISAC, ESET, Black Lotus Labs da Lumen, NTT e Symantec, uma divisão da Broadcom, além de nossa equipe do Microsoft Defender. Outras ações para remediar as vítimas terão o suporte de provedores de serviços de Internet (ISPs) e Equipes de Resposta a Emergências Computacionais (CERTs) em todo o mundo", informou em nota a Microsoft.

"Prevemos plenamente que os operadores da Trickbot adotarão esforços para reativar suas operações, e trabalharemos com nossos parceiros para monitorar suas atividades e tomar as medidas legais e técnicas necessárias para detê-los", disse Tom Burt, Vice-presidente Corporativo de Customer Security & Trust.

Impacto em outros setores

Além de sua ameaça às eleições, a Trickbot é conhecida por usar malware para acessar sites de serviços bancários online e roubar fundos de pessoas e instituições financeiras. Instituições financeiras que vão de bancos globais e processadores de pagamentos a cooperativas de crédito regionais foram alvos da Trickbot. Por isso, o Financial Services Information Sharing and Analysis Center (FS-ISAC) está sendo um parceiro e coautor crítico em nossa ação judicial.

Quando alguém usando um computador infectado pela Trickbot tenta fazer login no site de uma instituição financeira, a Trickbot executa uma série de atividades para sequestrar secretamente o navegador da Web do usuário, capturar as credenciais de login financeiro online da pessoa e outras informações pessoais e enviá-las para os operadores criminosos. As pessoas não sabem da atividade da Trickbot, uma vez que os operadores o conceberam para se esconder. Depois que a Trikbot captura credenciais de login e informações pessoais, os operadores usam aquelas informações para acessar as contas bancárias das pessoas. As pessoas vivenciam um processo normal de login e normalmente não têm conhecimento da vigilância e do roubo subjacentes.

A Trickbot também é conhecida por entregar o cripto-ransomware Ryuk, que tem sido usado em ataques contra uma grande variedade de instituições públicas e privadas. Ransomware pode ter efeitos devastadores. Recentemente, ele paralisou a rede de TI de um hospital alemão, resultando na morte de uma mulher que precisava de tratamento de emergência. O Ryuk é um cripto-ransomware sofisticado porque identifica e criptografa arquivos de rede e desabilita a Restauração do Sistema do Windows para evitar que as pessoas possam se recuperar do ataque sem backups externos. O Ryuk tem atacado organizações, incluindo governos municipais, tribunais estaduais, hospitais, casas de repouso, empresas e grandes universidades. Por exemplo, o Ryuk foi atribuído a ataques dirigidos a um prestador de serviço do Departamento de Defesa dos EUA, à cidade de Durham, na Carolina do Norte, a um fornecedor de TI para 110 casas de repouso e hospitais durante a pandemia da Covid-19.

Segurança eleitoral e proteção contra malware

Como a Microsoft informou no mês passado, no Relatório de Defesa Digital, o ransomware está em ascensão. Para organizações envolvidas na eleição que desejam proteção contra ransomware e outras ameaças, a Microsoft oferece o serviço gratuito de notificação de ameaças AccountGuard que agora protege mais de dois milhões de contas de email em todo o mundo. "Concluímos mais de 1.500 notificações de ataque a estados-nações do AccountGuard aos inscritos do AccountGuard até agora. Também oferecemos o Microsoft 365 para Campanhas, e uma versão fácil de configurar do Microsoft 365 que vem com configurações padrão inteligentes e seguras a um preço acessível. Por fim, os consultores de segurança eleitoral fornecem serviços de resiliência proativos e resposta reativa a incidentes para campanhas e funcionários eleitorais, também a um preço acessível", afirma a empresa em nota.

"Nossa Unidade de Crimes Digitais também continuará a participar de operações para proteger organizações envolvidas no processo democrático e toda a nossa base de clientes. Desde 2010, a Microsoft, por meio da Unidade de Crimes Digitais, colaborou com autoridades legais e outros parceiros em interrupções de 23 malwares e de domínio de estados-nações, resultando em mais de 500 milhões de dispositivos resgatados de cibercriminosos. Com esta ação civil, utilizamos uma nova estratégia legal que nos permite impor a lei de direitos autorais para impedir que a infraestrutura da Microsoft, neste caso nosso código de software, seja utilizada para cometer crimes. Como a lei de direitos autorais é mais comum do que a lei de crimes de computador, esta nova abordagem nos ajuda a perseguir agentes mal-intencionados em mais jurisdições ao redor do mundo", encerra a Microsoft.

Daniel Praciano