 |
Tất cả các tổ chức trên đều tham gia điều tra hạ tầng backend, bao gồm máy chủ và mô-đun mã độc, của TrickBot. Microsoft, ESET, Symantec cùng đối tác dành nhiều tháng trời thu thập hơn 125.000 mẫu mã độc TrickBot, phân tích nội dung, chiết xuất và lập bản đồ thông tin về hoạt động nội bộ của mã độc, trong đó có tất cả máy chủ mà botnet dùng để điều khiển máy tính nhiễm độc.
Với thông tin trong tay, Microsoft đã đề nghị tòa án cho phép kiểm soát máy chủ TrickBot để vô hiệu hóa địa chỉ IP, dựng nội dung lưu trên máy chủ C&C không thể truy cập được, đình chỉ tất cả dịch vụ đối với người vận hành botnet, chặn mọi nỗ lực mua sắm hay thuê máy chủ bổ sung của người vận hành botnet.
Liên minh cùng với các nhà cung cấp dịch vụ Internet và bộ phận ứng cứu máy tính trên toàn cầu thông báo cho mọi người dùng bị ảnh hưởng. Theo các thành viên, botnet TrickBot đã lây nhiễm hơn 1 triệu máy tính tại thời điểm bị đánh sập. Một số hệ thống còn bao gồm thiết bị IoT. TrickBot là một trong số các botnet lớn nhất từng bị phát hiện.
Mã độc bắt nguồn từ năm 2016 dưới dạng trojan ngân hàng trước khi chuyển biến thành trình tải mã độc đa năng, lây nhiễm hệ thống và cho phép các tổ chức tội phạm truy cập thông qua mô hình kinh doanh MaaS (Malware-as-a-Service). Cùng với Emotet, TrickBot là nền tảng MaaS hoạt động rất tích cực, thường cho các băng nhóm mã độc đòi tiền chuộc như Ryuk và Conti thuê quyền truy cập máy tính nhiễm độc.
Tuy nhiên, TrickBot cũng triển khai trojan ngân hàng và trojan đánh cắp thông tin (infostealer), cấp quyền truy cập vào các mạng lưới doanh nghiệp cho những kẻ lừa đảo, gián điệp. Đây là botnet mã độc lớn thứ hai bị đánh sập trong năm nay, sau Necurs vào tháng 3. Song nhiều botnet khác vẫn sống sót sau khi bị tấn công trong quá khứ. Chẳng hạn, botnet Kelihos vẫn tồn tại sau 3 lần bị truy quét và xây dựng lại từ đầu. Tới nay, Kelihos tiếp tục hoạt động như bình thường.
