Microsoft controlla la struttura chiave della rete di hacking Trickbot, in vista delle prossime elezioni USA

Con il termine botnet, che deriva dalla parola “robot” e “rete”, net in inglese, si definisce una rete di dispositivi informatici segretamente infettati da malware. Controllati da remoto, vengono utilizzati per attacchi informatici. Il suo assemblaggio è uno schema a più livelli che funge da strumento per inviare email di spam dannose a destinatari ignari e diffondere ransomware, un software che minaccia di pubblicare i dati della vittima o di bloccarne continuamente l’accesso, a meno che non venga pagato un riscatto, rubando dati finanziari e personali e rilasciare altri software dannosi sui sistemi infettati.

Microsoft ha intrapreso azioni legali per fermare la botnet Trickbot, una tra le più grandi reti del mondo gestita da criminali, probabilmente di lingua russa. Trickbot è utilizzato dagli hacker per ingannare i sistemi informatici statali e locali al fine di alimentare la confusione sui risultati delle elezioni, bloccando i sistemi di registrazione degli elettori o dei sondaggi elettronici nel periodo precedente il giorno delle elezioni.

La scorsa settimana Microsoft ha ottenuto da un giudice federale della Virginia, il controllo della rete Trickbot per interferire con le attività degli hacker. In questo modo Microsoft terrà attivamente traccia del panorama informatico monitorando gli attori delle minacce, le loro campagne, le tattiche e l’evoluzione del malware. Più che alterare i risultati effettivi, il timore è quello che possa scuotere la fiducia degli elettori, in particolar modo quelli già esasperati dagli attacchi del presidente Trump all’integrità delle schede per posta.

Il ransomware è una delle principali preoccupazioni dei funzionari federali per le elezioni, dato che rappresenta un tipo di attività dannosa, abilitata da Trickbot, in forte aumento negli Stati Uniti. Questa rete, che alcuni analisti affermano includa quasi 3 milioni di computer infetti, è stata individuata per la prima volta nel 2016 come trojan bancario creato come successore di Dyre e progettato per rubare le credenziali bancarie. Nel corso degli anni, gli operatori di Trickbot sono stati in grado di creare un’enorme rete e il malware si è evoluto in un software modulare attraverso server MaaS (malware-as-a-service) che forniscono l’accesso a pagamento a una botnet che distribuisce ai criminali informatici malware accompagnato perfino da supporto tecnico.

Trickbot è stato già utilizzato contro la società americana Universal Health Services, importante fornitore di servizi sanitari che gestisce più di 400 strutture negli Stati Uniti e in Gran Bretagna, i cui sistemi sono stati paralizzati dal ransomware noto come Ryuk. L’attacco ha costretto il personale a ricorrere a sistemi manuali e documenti cartacei, dopo aver riscontrato che alcuni pazienti erano stati reindirizzati ad altri pronto soccorso e ritardi nell’ottenere i risultati dei test.

Insieme ai provider Internet di tutto il mondo, Microsoft sta disabilitando i server di comando e di controllo della botnet Trickbot, bloccando qualsiasi tentativo da parte degli operatori di affittare o acquistare nuovi server. Lo sforzo è programmato per privare gli operatori dell’opportunità di ricostruire il loro esercito prima delle elezioni presidenziali.