Microsoft acaba de frenar una enorme operación de piratería masiva que, según dijo, podría haber afectado indirectamente a la infraestructura electoral si se le hubiera permitido continuar.
El Político
La compañía infomó que eliminó los servidores detrás de Trickbot, una enorme red de malware que los delincuentes estaban utilizando para lanzar otros ciberataques, incluida una variedad de ransomware altamente potentes.
Microsoft explicó que obtuvo una orden judicial federal para deshabilitar las direcciones IP asociadas con los servidores de Trickbot, y trabajó con proveedores de telecomunicaciones de todo el mundo para eliminar la red. según The Washington Post, la acción coincide con una ofensiva del Comando Cibernético de Estados Unidos para interrumpir a los ciberdelincuentes, al menos temporalmente.
El ransomware podría representar un riesgo para el proceso electoral si se eliminan los sistemas diseñados para respaldar la votación, según el analista de amenazas de Check Point, Lotem Finkelsteen, pero hasta ahora los expertos lo consideran "principalmente una amenaza hipotética en este momento".
Desconfianza en el sistema electoral
"Los adversarios pueden usar ransomware para infectar un sistema informático utilizado para mantener listas de votantes o informar sobre los resultados de la noche de las elecciones, aprovechando esos sistemas a una hora prescrita optimizada para sembrar el caos y la desconfianza", escribió el vicepresidente de seguridad de Microsoft, Tom Burt, en una publicación de blog.
Microsoft (MSFT) reconoció que es probable que los atacantes se adapten y busquen reactivar sus operaciones eventualmente. Pero, dijo Microsoft, los esfuerzos de la compañía reflejan un "nuevo enfoque legal" que puede ayudar a las autoridades a luchar contra la red en el futuro.
Piratas informáticos
Trickbot permitió a los piratas informáticos vender lo que Microsoft dijo que era un servicio a otros piratas informáticos, ofreciéndoles la capacidad de inyectar computadoras, enrutadores y otros dispositivos vulnerables con otro malware.
Eso incluye ransomware, que Microsoft y los funcionarios estadounidenses advirtieron que podría representar un riesgo para los sitios web que muestran información electoral o para los proveedores de software de terceros que brindan servicios a los funcionarios electorales.
El ransomware toma el control de las computadoras de destino y las congela hasta que las víctimas paguen, aunque los expertos instan a los afectados por el ransomware a no alentar a los piratas informáticos a cumplir con sus demandas.
El Departamento del Tesoro advirtió que pagar rescates podría violar la política de sanciones de Estados Unidos. "Ahora hemos cortado la infraestructura clave para que aquellos que operan Trickbot ya no puedan iniciar nuevas infecciones o activar ransomware ya instalado en los sistemas informáticos".
Un informe técnico separado de Microsoft hace dos semanas dijo que Trickbot se ha utilizado para difundir el ransomware Ryuk. Los expertos en seguridad dicen que Ryuk ha estado atacando a 20 organizaciones por semana y, según los informes, era el ransomware que atacó Universal Health Services, una de las empresas hospitalarias más grandes del país.
Cuidado con los correos electrónicos
Trickbot también se ha utilizado para difundir correos electrónicos falsos y maliciosos que contienen malware que intentaba atraer a las víctimas con mensajes relacionados con Black Lives Matter y Covid-19, dijo Microsoft.
Microsoft dijo que Trickbot ha infectado más de 1 millón de dispositivos informáticos en todo el mundo desde 2016 y que sus operadores han actuado en nombre de gobiernos y organizaciones criminales, pero su identidad exacta sigue siendo ambigua.
Derribar a Trickbot sigue a una serie de ataques que se hicieron muy publicitados en las últimas semanas: uno dirigido a Tyler Technologies, un proveedor de software utilizado por numerosos gobiernos locales, y Universal Health Services, una de las compañías hospitalarias más grandes del país.
Una declaración en el sitio web de Tyler Technologies ha dicho que la compañía no fabrica directamente software electoral y que el software que produce y que es utilizado por los funcionarios electorales para mostrar información electoral está separado de sus sistemas internos que se vieron afectados por el ataque.
Fuentes: The Washington Post / CNN
