ИТ-компании сокрушили C2-инфраструктуру ботнета TrickBot

ИТ-компании сокрушили C2-инфраструктуру ботнета TrickBot

ИТ-компании сокрушили C2-инфраструктуру ботнета TrickBot

Руководствуясь разрешением суда, участники альянса заблокировали доступ к IP-адресам, которые злоумышленники используют для управления ботнетом TrickBot. Ходатайство было подано в штате Виргиния по итогам расследования, которое корпорация Microsoft провела совместно с ESET, Symantec Enterprise Security (ныне в составе Broadcom), ИБ-подразделением Black Lotus Labs компании Lumen Technologies, а также экспертами телеком-провайдера NTT и американского Центра анализа и обмена информацией между финансовыми службами (FS-ISAC, Financial Services Information Sharing and Analysis Center).

В ходе расследования специалисты собрали и изучили десятки тысяч образцов трояна, установили способ связи зараженных машин с центрами управления и определили IP-адреса последних. Собранные свидетельства вредоносной деятельности позволили Microsoft обратиться в суд с прошением, которое и было удовлетворено.

Примечательно, что в качестве причины ходатайства проситель назвал ущерб, причиняемый его репутации и торговым маркам. В этом документе Microsoft высказала опасение, что, обнаружив возникшую в результате заражения проблему, пользователь может возложить вину на продукты компании — в частности, Windows.

«Исследовав доказательства, суд разрешил Microsoft и ее партнерам отключить IP-адреса, заблокировать доступ к содержимому командных серверов и все сервисы, используемые операторами ботнета, а также пресечь попытки операторов TrickBot купить или арендовать дополнительные серверы», — сказано в блог-записи Microsoft.

Блокировка центров управления ботнетом осуществлялась с помощью телеком-провайдеров в разных странах. Участники инициативы надеются, что этот шаг позволит остановить распространение инфекции и активацию вредоносных программ, уже загруженных на зараженные машины. В настоящее время принимаются меры для оповещения жертв TrickBot через интернет-провайдеров и региональные Группы быстрого реагирования на киберинциденты (CERT, Computer Emergency Response Team).

В настоящее время в состав ботнета TrickBot, по оценкам экспертов, входят более 1 млн зараженных компьютеров. Вредоносная сеть активно растет и опасна также тем, что сдается в аренду другим злоумышленникам по модели «зловред как услуга» (Malware-as-a-Service, MaaS). В итоге арендатор получает возможность загрузить на зараженные машины другие вредоносные программы — шпионы, шифровальщики и т. п.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России развивается новая вариация схемы с домофонными ключами

Мошенники начали активно применять новую модификацию старой схемы обмана с использованием домофонных ключей. Теперь под предлогом замены или получения новых кодов для доступа в подъезд они выманивают у граждан коды авторизации с Портала Госуслуг. Такой подход позволяет аферистам получить полный контроль над учётной записью жертвы и использовать её в своих целях.

Замену ключей для домофонов злоумышленники эксплуатируют уже около двух лет. Первоначально это была фишинговая схема, где QR-код на бумажном объявлении вёл на поддельный сайт. Целью атакующих был сбор реквизитов банковских карт под видом оплаты новых ключей.

В феврале 2025 года МВД предупредило о видоизменении этой схемы. Тогда мишенью злоумышленников стал код авторизации на Госуслугах, который рассылался жертвам под видом индивидуального домофонного кода. Мошенники убеждали граждан продиктовать его по телефону.

Как сообщило РИА Новости, теперь схема стала двухэтапной. Сначала жертве звонят злоумышленники, представляясь сотрудниками управляющей компании. Они называют точный адрес и предлагают получить «персональный код» для домофона. Сообщение с кодом приходит в СМС от Госуслуг.

Через некоторое время начинается второй этап: жертве звонят уже якобы представители службы технической поддержки Госуслуг. Они сообщают о попытках взлома аккаунта и просят назвать ранее присланный код. После этого аферисты получают доступ к учётной записи и могут ею распоряжаться.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru