10月12日,,微軟宣布采取法律行動,,以摧毀一個利用100多萬臺僵尸電腦洗劫銀行賬戶并傳播勒索軟件的大型犯罪網(wǎng)絡(luò),。專家認(rèn)為,,該犯罪網(wǎng)絡(luò)對美國總統(tǒng)選舉構(gòu)成重大威脅。
10月6日,,微軟在弗吉尼亞州聯(lián)邦法院獲得了一項法庭命令,,由此啟動了攻擊全球僵尸網(wǎng)絡(luò)的離線命令和控制服務(wù)器的行動。該網(wǎng)絡(luò)使用一種名為Trickbot的基礎(chǔ)設(shè)施,,用惡意軟件感染電腦,。微軟認(rèn)為,這個犯罪網(wǎng)絡(luò)濫用其商標(biāo),。
ESET的威脅研究主管讓-伊恩?布廷表示:“很難判斷其最終效果會如何,,但我們相信,它將持續(xù)產(chǎn)生影響,?!盓SET是與微軟合作繪制命令和控制服務(wù)器地圖的幾家網(wǎng)絡(luò)安全公司之一?!拔覀兇_信攻擊者會注意到,,僵尸網(wǎng)絡(luò)也將很難再回到之前的狀態(tài),。”他說,。
網(wǎng)絡(luò)安全專家表示,,微軟利用美國法院的命令來說服互聯(lián)網(wǎng)供應(yīng)商關(guān)閉僵尸網(wǎng)絡(luò)服務(wù)器,這一點值得稱贊,。但他們補充說,,因為太多的人不會遵循這個建議,因此這個方案不太容易成功,。Trickbot的運營商有一個分散管理的備用系統(tǒng),,還使用了加密路由。
Farsight Security公司的總裁保羅?維克西在電子郵件中說:“經(jīng)驗告訴我,,這是不可擴展的——大量IP存在于不愿合作的國家中,。”網(wǎng)絡(luò)安全公司Intel 471在10月12日與美聯(lián)社分享的一份報告中稱,,Trickbot的操作沒有受到重大打擊,,并預(yù)測“中長期將影響不大”。
但網(wǎng)絡(luò)安全公司Emsisoft的勒索軟件專家布雷特?卡洛表示,,至少在美國總統(tǒng)選舉期間,,一個臨時的Trickbot得到中斷,可以在一定程度上限制攻擊,,防止勒索軟件在已經(jīng)感染的系統(tǒng)上激活,。
布雷特?卡洛的這一聲明是在《華盛頓郵報》于10月9日發(fā)布一篇報道之后宣布的,該報道稱,,美國軍方網(wǎng)絡(luò)司令部從上個月開始通過直接攻擊(而不是要求在線服務(wù)拒絕托管命令控制服務(wù)器使用的域名)來摧毀Trickbot,,但最終沒有成功。
美國的一項名為“持續(xù)交戰(zhàn)”(persistent engagement)的政策授權(quán)美國“網(wǎng)絡(luò)戰(zhàn)士”(cyberwarriors)在網(wǎng)絡(luò)空間與敵對黑客進行接觸,,并用代碼擾亂他們的行動,。2018年美國中期選舉期間,一些網(wǎng)絡(luò)通信公司就曾經(jīng)這樣對付俄羅斯的虛假信息發(fā)布者,。
Trickbot創(chuàng)建于2016年,,正由一個講俄語的網(wǎng)絡(luò)罪犯組成的松散聯(lián)盟使用。它是一個數(shù)字上層建筑,,用于在個人和網(wǎng)站的電腦中植入惡意軟件,。最近幾個月,其運營商正在越來越多地把Trickbot租給其他犯罪分子,,利用它來散布勒索軟件,,對目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)進行加密,使其癱瘓,,直到受害者付錢為止,。
據(jù)報道,,由Trickbot散布的旗下名為Ryuk的勒索軟件,其最大受害者是連鎖醫(yī)院Universal Health Services,。該公司說,,在上個月的一次攻擊中,其在美國的所有250家醫(yī)療機構(gòu)都受到了影響,,醫(yī)生和護士被迫使用紙筆辦公,。
美國國土安全部官員將勒索軟件列為11月3日總統(tǒng)大選的主要威脅。他們擔(dān)心相關(guān)襲擊會凍結(jié)州或地方的選民登記系統(tǒng),,擾亂投票,,或破壞選舉結(jié)果報告網(wǎng)站。
Trickbot是一個特別強大的“互聯(lián)網(wǎng)討厭鬼”,。它又被稱為“惡意軟件服務(wù)”,,其模塊化的結(jié)構(gòu)可以被廣泛用作犯罪活動的交付工具。它最初主要是一種所謂的銀行木馬,,通過從網(wǎng)上銀行賬戶竊取憑據(jù),,以讓犯罪分子轉(zhuǎn)移現(xiàn)金。
但最近,,研究人員注意到,,越來越多的欺詐者使用Trickbot勒索軟件,目標(biāo)廣泛,,從市政府到學(xué)區(qū)和醫(yī)院,,無一幸免。惡意軟件實驗室Emsisoft的卡洛說,,Ryuk和另一種也使用Trickbot傳播的勒索軟件Conti,在9月主導(dǎo)了對美國公共部門的攻擊,。
總部在密爾沃基市的網(wǎng)絡(luò)安全公司Hold Security的創(chuàng)始人亞歷克斯?霍爾登密切跟蹤了Trickbot的運營商,,他表示,報道提到的網(wǎng)絡(luò)通信中斷——包括通過注入代碼來混淆其配置——暫時中斷了命令和控制服務(wù)器與大多數(shù)機器人之間的通信,。
“但這很難說是決定性的勝利,。”他補充說,,僵尸網(wǎng)絡(luò)的反彈帶來了新的受害者和勒索軟件,。(財富中文網(wǎng))
編譯:楊二一
10月12日,微軟宣布采取法律行動,,以摧毀一個利用100多萬臺僵尸電腦洗劫銀行賬戶并傳播勒索軟件的大型犯罪網(wǎng)絡(luò),。專家認(rèn)為,該犯罪網(wǎng)絡(luò)對美國總統(tǒng)選舉構(gòu)成重大威脅,。
10月6日,,微軟在弗吉尼亞州聯(lián)邦法院獲得了一項法庭命令,,由此啟動了攻擊全球僵尸網(wǎng)絡(luò)的離線命令和控制服務(wù)器的行動。該網(wǎng)絡(luò)使用一種名為Trickbot的基礎(chǔ)設(shè)施,,用惡意軟件感染電腦,。微軟認(rèn)為,這個犯罪網(wǎng)絡(luò)濫用其商標(biāo),。
ESET的威脅研究主管讓-伊恩?布廷表示:“很難判斷其最終效果會如何,,但我們相信,它將持續(xù)產(chǎn)生影響,?!盓SET是與微軟合作繪制命令和控制服務(wù)器地圖的幾家網(wǎng)絡(luò)安全公司之一?!拔覀兇_信攻擊者會注意到,,僵尸網(wǎng)絡(luò)也將很難再回到之前的狀態(tài)?!彼f,。
網(wǎng)絡(luò)安全專家表示,微軟利用美國法院的命令來說服互聯(lián)網(wǎng)供應(yīng)商關(guān)閉僵尸網(wǎng)絡(luò)服務(wù)器,,這一點值得稱贊,。但他們補充說,因為太多的人不會遵循這個建議,,因此這個方案不太容易成功,。Trickbot的運營商有一個分散管理的備用系統(tǒng),還使用了加密路由,。
Farsight Security公司的總裁保羅?維克西在電子郵件中說:“經(jīng)驗告訴我,,這是不可擴展的——大量IP存在于不愿合作的國家中?!本W(wǎng)絡(luò)安全公司Intel 471在10月12日與美聯(lián)社分享的一份報告中稱,,Trickbot的操作沒有受到重大打擊,并預(yù)測“中長期將影響不大”,。
但網(wǎng)絡(luò)安全公司Emsisoft的勒索軟件專家布雷特?卡洛表示,,至少在美國總統(tǒng)選舉期間,一個臨時的Trickbot得到中斷,,可以在一定程度上限制攻擊,,防止勒索軟件在已經(jīng)感染的系統(tǒng)上激活。
布雷特?卡洛的這一聲明是在《華盛頓郵報》于10月9日發(fā)布一篇報道之后宣布的,,該報道稱,,美國軍方網(wǎng)絡(luò)司令部從上個月開始通過直接攻擊(而不是要求在線服務(wù)拒絕托管命令控制服務(wù)器使用的域名)來摧毀Trickbot,但最終沒有成功,。
美國的一項名為“持續(xù)交戰(zhàn)”(persistent engagement)的政策授權(quán)美國“網(wǎng)絡(luò)戰(zhàn)士”(cyberwarriors)在網(wǎng)絡(luò)空間與敵對黑客進行接觸,,并用代碼擾亂他們的行動,。2018年美國中期選舉期間,一些網(wǎng)絡(luò)通信公司就曾經(jīng)這樣對付俄羅斯的虛假信息發(fā)布者,。
Trickbot創(chuàng)建于2016年,,正由一個講俄語的網(wǎng)絡(luò)罪犯組成的松散聯(lián)盟使用。它是一個數(shù)字上層建筑,,用于在個人和網(wǎng)站的電腦中植入惡意軟件,。最近幾個月,其運營商正在越來越多地把Trickbot租給其他犯罪分子,,利用它來散布勒索軟件,,對目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)進行加密,使其癱瘓,,直到受害者付錢為止,。
據(jù)報道,由Trickbot散布的旗下名為Ryuk的勒索軟件,,其最大受害者是連鎖醫(yī)院Universal Health Services,。該公司說,在上個月的一次攻擊中,,其在美國的所有250家醫(yī)療機構(gòu)都受到了影響,,醫(yī)生和護士被迫使用紙筆辦公。
美國國土安全部官員將勒索軟件列為11月3日總統(tǒng)大選的主要威脅,。他們擔(dān)心相關(guān)襲擊會凍結(jié)州或地方的選民登記系統(tǒng),,擾亂投票,或破壞選舉結(jié)果報告網(wǎng)站,。
Trickbot是一個特別強大的“互聯(lián)網(wǎng)討厭鬼”,。它又被稱為“惡意軟件服務(wù)”,其模塊化的結(jié)構(gòu)可以被廣泛用作犯罪活動的交付工具,。它最初主要是一種所謂的銀行木馬,,通過從網(wǎng)上銀行賬戶竊取憑據(jù),以讓犯罪分子轉(zhuǎn)移現(xiàn)金,。
但最近,,研究人員注意到,,越來越多的欺詐者使用Trickbot勒索軟件,,目標(biāo)廣泛,從市政府到學(xué)區(qū)和醫(yī)院,,無一幸免,。惡意軟件實驗室Emsisoft的卡洛說,Ryuk和另一種也使用Trickbot傳播的勒索軟件Conti,,在9月主導(dǎo)了對美國公共部門的攻擊,。
總部在密爾沃基市的網(wǎng)絡(luò)安全公司Hold Security的創(chuàng)始人亞歷克斯?霍爾登密切跟蹤了Trickbot的運營商,,他表示,報道提到的網(wǎng)絡(luò)通信中斷——包括通過注入代碼來混淆其配置——暫時中斷了命令和控制服務(wù)器與大多數(shù)機器人之間的通信,。
“但這很難說是決定性的勝利,。”他補充說,,僵尸網(wǎng)絡(luò)的反彈帶來了新的受害者和勒索軟件,。(財富中文網(wǎng))
編譯:楊二一
Microsoft announced legal action on October 12 seeking to disrupt a major cybercrime digital network that uses more than 1 million zombie computers to loot bank accounts and spread ransomware, which experts consider a major threat to the U.S. presidential election.
The operation to knock offline command-and-control servers for a global botnet that uses an infrastructure known as Trickbot to infect computers with malware was initiated with a court order that Microsoft obtained in Virginia federal court on Oct. 6. Microsoft argued that the crime network is abusing its trademark.
“It is very hard to tell how effective it will be but we are confident it will have a very long-lasting effect,” said Jean-Ian Boutin, head of threat research at ESET, one of several cybersecurity firms that partnered with Microsoft to map the command-and-control servers. “We’re sure that they are going to notice and it will be hard for them to get back to the state that the botnet was in.”
Cybersecurity experts said that Microsoft’s use of a U.S. court order to persuade internet providers to take down the botnet servers is laudable. But they add that it’s not apt to be successful because too many won’t comply and because Trickbot’s operators have a decentralized fall-back system and employ encrypted routing.
Paul Vixie of Farsight Security said via email “experience tells me it won’t scale — there are too many IP’s behind uncooperative national borders.” And the cybersecurity firm Intel 471 reported no significant hit on Trickbot operations on October 12 and predicted ”little medium- to long-term impact” in a report shared with The Associated Press.
But ransomware expert Brett Callow of the cybersecurity firm Emsisoft said that a temporary Trickbot disruption could, at least during the election, limit attacks and prevent the activation of ransomware on systems already infected.
The announcement follows a Washington Post report on October 9 of a major — but ultimately unsuccessful — effort by the U.S. military's Cyber Command to dismantle Trickbot beginning last month with direct attacks rather than asking online services to deny hosting to domains used by command-and-control servers.
A U.S. policy called “persistent engagement” authorizes U.S. cyberwarriors to engage hostile hackers in cyberspace and disrupt their operations with code, something Cybercom did against Russian misinformation jockeys during U.S. midterm elections in 2018.
Created in 2016 and used by a loose consortium of Russian-speaking cybercriminals, Trickbot is a digital superstructure for sowing malware in the computers of unwitting individuals and websites. In recent months, its operators have been increasingly renting it out to other criminals who have used it to sow ransomware, which encrypts data on target networks, crippling them until the victims pay up.
One of the biggest reported victims of a ransomware variety sowed by Trickbot called Ryuk was the hospital chain Universal Health Services, which said all 250 of its U.S. facilities were hobbled in an attack last month that forced doctors and nurses to resort to paper and pencil.
U.S. Department of Homeland Security officials list ransomware as a major threat to the Nov. 3 presidential election. They fear an attack could freeze up state or local voter registration systems, disrupting voting, or knock out result-reporting websites.
Trickbot is a particularly robust internet nuisance. Called “malware-as-a-service,” its modular architecture lets it be used as a delivery mechanism for a wide array of criminal activity. It began mostly as a so-called banking Trojan that attempts to steal credentials from online bank account so criminals can fraudulently transfer cash.
But recently, researchers have noted a rise in Trickbot’s use in ransomware attacks targeting everything from municipal and state governments to school districts and hospitals. Ryuk and another type of ransomware called Conti — also distributed via Trickbot — dominated attacks on the U.S. public sector in September, said Callow of Emsisoft.
Alex Holden, founder of Milwaukee-based Hold Security, tracks Trickbot's operators closely and said the reported Cybercom disruption — involving efforts to confuse its configuration through code injections — succeeded in temporarily breaking down communications between command-and-control servers and most of the bots.
“But that’s hardly a decisive victory,” he said, adding that the botnet rebounded with new victims and ransomware.