TrickBot вернулся, но усилия борцов с ботнетами не напрасны

Татьяна Никитина 14 Октября 2020 - 15:40

...

Потеряв свои C2-серверы, операторы TrickBot сумели быстро обновить инфраструктуру, и ботнет вновь в строю, хотя его активность заметно снизилась. Как стало известно, ИБ-эксперты иного и не ожидали, однако высоко оценили недавнюю попытку нарушить функционирование вредоносной сети.

Оказалось, что в ходе захвата центров управления TrickBot, который ИТ-компании и телеоператоры провели с разрешения суда, ботоводы начали переносить свои серверы в децентрализованную сеть на основе EmerDNS. Эта сеть использует блокчейн-технологию, помогающую уберечь сайты от блокировки. В итоге зловредный ботнет снова заработал, хотя и не в прежнем объеме.

Жертвы заражения получили передышку, хотя и ненадолго. Тем не менее участники карательной акции результатами довольны. Комментируя ход событий для ZDNet, представители ESET, Microsoft и Symantec признали, что обезглавить такой ботнет, как TrickBot, одним махом не получится — да они и не ждали такого эффекта и готовятся к продолжению кампании.

Представители ИБ-сообщества, в свою очередь, заявили ZDNet, что удар по TrickBot подмочил репутацию ботоводов, вовлек их в дополнительные расходы и затормозил вредоносную деятельность. В последнем случае результат, конечно, оказался кратковременным, однако это было вполне ожидаемо.

Репортер ZDNet также ознакомился с ходатайством Microsoft, одобренным федеральным судом, и отметил, что этот документ создал новый прецедент в борьбе с ботнетами. В качестве основной причины проситель назвал факт нарушения пользовательского соглашения, регулирующего использование SDK Windows — комплекта разработчика, на котором работают все приложения Windows. Ботоводы TrickBot тоже пользуются программой, построенной на этом SDK, но с вредоносной целью, что противоречит условиям пользовательского соглашения.

Подобный аргумент — находка для борцов с ботнетами, так как ранее им приходилось доказывать финансовый ущерб, причиненный жертвам заражения. Отыскать и опросить последних в разных странах, с выходом за границы юрисдикции, совсем не просто. Противоправное использование SDK Windows доказать проще, и такое основание для жалобы примет любое государство.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июля 2025 - 13:11

InfoWatch Traffic Monitor Корпорации Системы защиты от утечек конфиденциальной информации (DLP) InfoWatch

VK WorkSpace теперь совместим с DLP-системой InfoWatch Traffic Monitor

DLP-система InfoWatch Traffic Monitor теперь совместима с on-premise-версией платформы VK WorkSpace. Это означает, что компании смогут контролировать, какие данные передаются в корпоративных письмах и мессенджере, и вовремя предотвращать утечки.

Интеграция охватывает основные каналы рабочей коммуникации — электронную почту и мессенджер VK Teams. DLP-система отслеживает текст, вложения и документы, выявляет потенциально конфиденциальную информацию и проверяет, нарушаются ли политики безопасности компании.

Если нарушение зафиксировано, система может автоматически заблокировать отправку сообщения, ограничить доступ к файлам и уведомить ИБ-специалистов.

Почта, работающая в составе VK WorkSpace, тоже подключается к DLP-системе. Есть несколько способов настройки: можно перенаправлять почтовый трафик через SMTP или использовать скрытую копию (BCC).

Интеграция настраивается через административный интерфейс — достаточно указать адрес сервера или почтового ящика DLP. Кроме того, защиту трафика на рабочих устройствах обеспечивает установленный агент InfoWatch.

Как подчёркивают в обеих компаниях, эта интеграция — ответ на запросы бизнеса и госсектора на усиление контроля за утечками и работу в полностью российских ИТ-средах.

TrickBot вернулся, но усилия борцов с ботнетами не напрасны

Читайте также