Microsoft continua la sua battaglia per contrastare il fenomeno delle botnet, le reti di computer infettati con software malevolo per commettere reati informatici. Dopo il k.o. inflitto a Necurs in primavera, ad entrare nel mirino della casa di Redmond è stata Trickbot, una botnet attiva dal 2016 e che ha colpito oltre 1 milione di dispositivi informatici (PC, ma anche prodotti IoT come i router).

Trickbot era specializzata nell'attività di distribuzione di ransomware, secondo il modello del malware-as-a-service, per conto di Stati e organizzazioni criminali. In altri termini i gestori della botnet - nel caso specifico l'identità è sconosciuta - offrono i loro servizi a chi è disposto a pagarli, che così può mettere in atto attacchi informatici anche senza conoscenze approfondite.

L'attacco di Microsoft a TrickBot - che, come si dirà a breve, ha comportato la necessità di trovare nuovi approcci anche dal punto di vista legale - ha permesso di bloccare l'infrastruttura fondamentale per il funzionamento della botnet, ciò significa che TrickBot non può diffondere nuovi malware e controllare quelli già immessi nei sistemi informatici.

Contrastare Trickbot è stato particolarmente complesso a causa della capacità dei gestori della rete di utilizzare una molteplicità di tecniche per distribuire i malware, spesso toccando temi di scottante attualità come sottolinea Microsoft:

Le campagne di spam e spear phishing di Trickbot usate per distribuire i malware hanno compreso argomenti come Black Lives Matter e COVID-19, che invogliano le persone a cliccare su documenti e collegamenti dannosi. In base ai dati forniti dal rilevamento avanzato delle minacce di Microsoft Office 365, Trickbot è stata l'operazione malware più prolifica utilizzando come esca tematiche legate a CODID-19

Combattere le botnet presuppone uno sforzo congiunto tra operatori di rete, società d sicurezza e organi di giustizia, e così è stato anche nel caso di TrickBot. Microsoft ha creato un'unità per contrastare le botnet (Digital Crimes Unit), analizzato i dati inviati dai computer infetti al server della botnet (i cosiddetti centri C&C, ovvero i computer che controllano da remoto i malware), individuato gli indirizzi IP, chiesto che venissero disabilitati, ed infine ha ottenuto il blocco dei tentativi dei gestori della botnet di acquistare o affittare altri server.

Interessante notare che l'ordinanza del tribunale che ha bloccato Trickbot è stata concessa dimostrando che i gestori della botnet hanno violato la normativa sulla protezione del diritto d'autore mediante l'utilizzo per fini illeciti del codice sviluppato da Microsoft. Un'astuzia legale che ha permesso di annientare una botnet molto pericolosa. Microsoft evidenzia che, oltre a minacciare il corretto svolgimento delle elezioni presidenziali di novembre tramite ransomware, TrickBot è stata utilizzata per prendere di mira i siti di online banking e per concludere attacchi basati sul crypto-ransomware Ryuk. Per dare l'idea della gravità di questi attacchi, si ricorda che Ryuk è stato anche in grado di bloccare i sistemi informatici di un ospedale tedesco causando la morte di una donna che aveva bisogno di cure urgenti.