ไมโครซอฟท์ไล่ปิดเซิร์ฟเวอร์มัลแวร์ Trickbot ที่ใช้ส่ง Ransomware ได้สำเร็จ แม้คาดว่าคนร้ายจะกลับมาอีกครั้ง

ไมโครซอฟท์รายงานถึงการต่อสู้กับกลุ่มให้บริการมัลแวร์ (malware-as-a-service) ที่ชื่อกลุ่มว่า Trickbot โดยไมโครซอฟท์ได้ตรวจตัวอย่างมัลแวร์ในกลุ่มถึง 61,000 ตัวอย่าง เพื่อหาไอพีของเซิร์ฟเวอร์สั่งการ (command and control) และจัดการระงับการใช้งานไอพีเหล่านั้นจนกระทั่งมัลแวร์หยุดทำงานไป แม้จะคาดได้ว่ากลุ่มคนร้ายคงหาเซิร์ฟเวอร์ใหม่เพื่อเปิดบริการอีกครั้งในอนาคต

มัลแวร์ Trickbot มีการพัฒนาอย่างเป็นระบบ มีโมดูลแยกส่วนสามารถปรับฟีเจอร์ได้ตามการใช้งานของลูกค้า และจนตอนนี้ยังไม่สามารถหาต้นตอของกลุ่มผู้พัฒนาได้โดยตรง แม้จะพบว่าลูกค้าที่ใช้งาน Trickbot มีตั้งแต่ระดับรัฐ ไปจนถึงกลุ่มคนร้าย โดยเป้าหมายต่างกันไป ไมโครซอฟท์ระบุว่า Trickbot เป็นตัวส่งมัลแวร์ Ryuk เข้าไปในเน็ตเวิร์คของโรงพยาบาลเยอรมันจนกระทั่งมีคนเสียชีวิตในเดือนกันยายนที่ผ่านมา โดย Ryuk นี้โจมตีทั้งหน่วยงานรัฐ, โรงพยาบาล, บริษัทต่างๆ, ไปจนถึงมหาวิทยาลัย บางกรณี Trickbot ถูกใช้เก็บข้อมูลล็อกอินธนาคารจากเหยื่อเพื่อขโมยเงินจากบัญชีโดยตรง

การปิดเครือข่ายมัลแวร์ครั้งนี้ร่วมกันหลายหน่วยงาน เช่น FS-ISAC ที่เป็นกลุ่มสถาบันการเงินช่วยดำเนินคดีในฐานะผู้เสียหายจากการฉ้อโกงธนาคาร, ESET, Lumen’s Black Lotus Labs, NTT, และ Symantec โดยไมโครซอฟท์เองก็ใช้เครื่องมือทางกฎหมายที่มี เช่นการแจ้งข้อหาลิขสิทธิ์ซอฟต์แวร์ที่กลุ่ม Trickbot นำโค้ดของไมโครซอฟท์ไปใช้งานเพื่อปิดเครือข่ายของมัลแวร์ครั้งนี้

ที่มา – Microsoft

No Description

from:https://www.blognone.com/node/118981