Microsoft ट्रिकबोट बोटनेट को बाधित करने के लिए ट्रेडमार्क कानून का उपयोग करता है – सुरक्षा पर क्रेब्स

Microsoft कॉर्प मैलवेयर के रूप में सेवा बोटनेट को बाधित करने के लिए एक बोली में एक समन्वित कानूनी चुपके हमले को अंजाम दिया है Trickbotएक वैश्विक खतरा, जिसने लाखों कंप्यूटरों को संक्रमित किया है और इसका इस्तेमाल रैंसमवेयर फैलाने के लिए किया जाता है। वर्जीनिया की एक अदालत ने कई इंटरनेट सर्वरों पर माइक्रोसॉफ्ट के नियंत्रण को नियंत्रित कर लिया, ट्रिकबोट संक्रमित प्रणालियों को लूटने के लिए उपयोग करती है, उपन्यास के दावे के आधार पर कि अपराध मशीन ने सॉफ्टवेयर दिग्गज के ट्रेडमार्क का दुरुपयोग किया है। हालांकि, ऐसा प्रतीत होता है कि ऑपरेशन ने बॉटनेट को पूरी तरह से अक्षम नहीं किया है।

एक ट्रिकबोट संक्रमित लगाव वाला एक स्पैम ईमेल जो इस साल की शुरुआत में भेजा गया था। चित्र: Microsoft

“हमने दुनिया भर में दूरसंचार प्रदाताओं के साथ साझेदारी में निष्पादित तकनीकी आदेश के साथ-साथ एक अदालती आदेश के माध्यम से हमें बाधित किया,” उन्होंने लिखा टॉम बर्टआज सुबह एक ब्लॉग में, कानूनी पैंतरेबाज़ी के बारे में Microsoft में ग्राहक सुरक्षा और विश्वास के कॉर्पोरेट उपाध्यक्ष। “अब हमने महत्वपूर्ण बुनियादी ढांचे को काट दिया है, ताकि ट्रिकबोट का संचालन करने वाले लोग अब नए संक्रमणों को शुरू नहीं कर पाएंगे या कंप्यूटर सिस्टम में पहले से मौजूद रैनसमवेयर को सक्रिय नहीं कर पाएंगे।”

Microsoft की कार्रवाई अमेरिकी सेना के कुछ ही दिनों बाद आई है साइबर कमांड अपने स्वयं के हमले को अंजाम दिया जिसने सभी संक्रमित ट्रिकबोट सिस्टम को एक कमांड भेजा, जो उन्हें इंटरनेट सर्वर से खुद को डिस्कनेक्ट करने के लिए कह रहा था। साइबर कमांड द्वारा लगभग 10-दिवसीय ऑपरेशन ने भी बॉटनेट के ऑपरेटरों को भ्रमित करने के लिए ट्रिकबोट डेटाबेस में नए पीड़ितों के बारे में लाखों फर्जी रिकॉर्ड दर्ज किए।

कानूनी फाइलिंग में, माइक्रोसॉफ्ट ने तर्क दिया कि ट्रिकबोट कंपनी को अपनी प्रतिष्ठा, ब्रांडों और ग्राहक की सद्भावना को नुकसान पहुंचाकर “अनुचित रूप से परेशान करता है।” डिफेंडेंट भौतिक रूप से Microsoft उत्पाद जैसे Microsoft उत्पाद को बदल देते हैं और भ्रष्ट कर देते हैं। ट्रिकबोट द्वारा संक्रमित, परिवर्तित और नियंत्रित किए जाने के बाद, विंडोज ऑपरेटिंग सिस्टम सामान्य रूप से काम करना बंद कर देता है और चोरी को अंजाम देने के लिए डिफेंडेंट्स के लिए उपकरण बन जाता है। “

नागरिक शिकायत से Microsoft ने 6 अक्टूबर को दायर किया वर्जीनिया के पूर्वी जिले के लिए अमेरिकी जिला न्यायालय:

“हालांकि, वे अभी भी Microsoft और Windows ट्रेडमार्क को सहन करते हैं। यह स्पष्ट रूप से Microsoft के ग्राहकों को भ्रमित करता है, और यह Microsoft के ब्रांडों और ट्रेडमार्क को अत्यधिक नुकसान पहुंचाता है। “

“इन दुर्भावनापूर्ण अनुप्रयोगों के नकारात्मक प्रभावों के अधीन उपयोगकर्ता गलत तरीके से मानते हैं कि Microsoft और Windows उनके कंप्यूटिंग डिवाइस की समस्याओं का स्रोत हैं। बहुत जोखिम है कि उपयोगकर्ता इस समस्या को Microsoft के पास ले जा सकते हैं और इन समस्याओं को Microsoft के Windows उत्पादों के साथ जोड़ सकते हैं, जिससे Microsoft और Windows ट्रेडमार्क और ब्रांडों का मूल्य कम और धूमिल हो जाएगा। “

Microsoft ने कहा कि यह जब्त किए गए ट्रिकबोट सर्वर का लाभ उठाएगा और ट्रिबोबट मैलवेयर से प्रभावित विंडोज उपयोगकर्ताओं को उनके सिस्टम के मैलवेयर को साफ करने में मदद करेगा।

ट्रिकबोट का उपयोग लाखों संक्रमित कंप्यूटरों से पासवर्ड चोरी करने के लिए किया गया है, और कथित तौर पर 250 मिलियन से अधिक ईमेल खातों तक पहुंच को अपहृत करने के लिए जिसमें से मैलवेयर की नई प्रतियां पीड़ित के संपर्कों को भेजी जाती हैं।

ट्रिकबोट के मैलवेयर-ए-इन-सर्विस फ़ीचर ने रैंसमवेयर के विभिन्न उपभेदों को तैनात करने के लिए एक विश्वसनीय वाहन बना दिया है, जब तक कि कंपनी तब तक और जब तक कंपनी जबरन भुगतान करने के लिए सहमत नहीं हो जाती, तब तक एक नेटवर्क पर संक्रमित सिस्टम को लॉक किया जा सकता है।

एक विशेष रूप से विनाशकारी रैनसमवेयर तनाव जो ट्रिकबोट के साथ निकटता से जुड़ा हुआ है – जिसे “रयूक” या “कोंटी” के रूप में जाना जाता है – पिछले एक साल में स्वास्थ्य सेवा प्रदाताओं, चिकित्सा अनुसंधान केंद्रों और अस्पतालों सहित कई संगठनों पर महंगे हमलों के लिए जिम्मेदार है।

हाल ही में रयूक शिकार यूनिवर्सल हेल्थ सर्विसेज (यूएचएस), एक फॉर्च्यून 500 अस्पताल और स्वास्थ्य सेवा प्रदाता है जो यू.एस. और यू.के. में 400 से अधिक सुविधाएं संचालित करता है।

रविवार को, 27 सितंबर, UHS ने मैलवेयर के प्रसार को रोकने के लिए संयुक्त राज्य भर में स्वास्थ्य सुविधाओं पर अपने कंप्यूटर सिस्टम को बंद कर दिया। विघटन के कारण कुछ प्रभावित अस्पतालों ने एम्बुलेंस को पुनर्निर्देशित किया और रोगियों को सर्जरी की आवश्यकता के लिए अन्य नजदीकी अस्पतालों में स्थानांतरित किया।

Microsoft ने कहा कि उसने ट्रिकबोट को स्थायी रूप से बाधित करने की अपनी कार्रवाई की उम्मीद नहीं की, यह देखते हुए कि बोटनेट के पीछे बदमाश संभवतः अपने संचालन को पुनर्जीवित करने के प्रयास करेंगे। लेकिन अभी तक यह स्पष्ट नहीं है कि Microsoft सभी ट्रिकबोट के नियंत्रण सर्वरों को कमांड करने में सफल रहा, या जब वास्तव में उन सर्वरों का समन्वित जब्ती हुई।

जैसा कि कंपनी ने अपने कानूनी दायरों में उल्लेख किया है, ट्रिकबोट नियंत्रकों के रूप में उपयोग किए जाने वाले इंटरनेट पते का सेट गतिशील है, बॉटनेट को किसी भी चुनौती को अक्षम करने का प्रयास करता है।

दरअसल, एक स्विस सुरक्षा साइट, जो कि ट्रोबबॉट और अन्य बॉटनेट के लिए नियंत्रक के रूप में इस्तेमाल किए जाने वाले इंटरनेट सर्वरों को ट्रैक करती है, के बारे में वास्तविक समय की जानकारी के अनुसार, लगभग दो दर्जन ट्रिकबोट नियंत्रण सर्वर – जिनमें से कुछ पहले इस महीने की शुरुआत में सक्रिय हो गए थे: अभी भी रहते हैं और इस प्रकाशन के समय अनुरोधों का जवाब देते हैं।

ट्रिकबोट नियंत्रण सर्वर जो वर्तमान में ऑनलाइन हैं। स्रोत: Feodotracker.abuse.ch

साइबर इंटेलिजेंस फर्म इंटेल 471 का कहना है कि ट्रिकबोट को पूरी तरह से नीचे ले जाने के लिए पार्टियों और देशों के बीच एक अभूतपूर्व स्तर के सहयोग की आवश्यकता होगी जो कि ज्यादातर वैसे भी सहयोग नहीं करेंगे। यह आंशिक रूप से इसलिए है क्योंकि ट्रिकबोट की प्राथमिक कमान और नियंत्रण तंत्र द ऑनियन राउटर (टीओआर) पर संचार का समर्थन करता है – एक वितरित बेनामी सेवा जो पूरी तरह से नियमित इंटरनेट से अलग है।

“परिणाम के रूप में, यह बहुत संभावना है कि ट्रिकबोट के बुनियादी ढांचे का एक छोटा सा हिस्सा है, जो कि ट्रिकबोट के संचालन पर अल्पकालिक दीर्घकालिक प्रभाव होगा,” इंटेल 471 ने माइक्रोसॉफ्ट की कार्रवाई के विश्लेषण में लिखा है।

क्या अधिक है, ट्रिकबोट में एक फालबैक संचार विधि है जो एमरडएनएस नामक एक विकेन्द्रीकृत डोमेन नाम प्रणाली का उपयोग करती है, जो लोगों को ऐसे डोमेन बनाने और उपयोग करने की अनुमति देती है जिन्हें किसी भी प्राधिकरण द्वारा परिवर्तित, निरस्त या निलंबित नहीं किया जा सकता है। अत्यधिक लोकप्रिय साइबर क्राइम स्टोर जोकर का स्टाश – जो लाखों चोरी किए गए क्रेडिट कार्ड बेचता है – इस सेटअप का भी उपयोग करता है।

इंटेल 471 रिपोर्ट से [malicious links and IP address defanged with brackets]:

“घटना में सभी ट्रिकबोट बुनियादी ढांचे को नीचे ले जाया जाता है, ट्रिकबोट के पीछे साइबर अपराधियों को अपने सर्वर को फिर से बनाने और अपने नए सर्वर पर इंगित करने के लिए अपने एमआरडीएनएस डोमेन को बदलने की आवश्यकता होगी। तब संकलित सिस्टम नए ट्रिकबोट के बुनियादी ढांचे से जुड़ने में सक्षम होना चाहिए। ट्रिकबोट के एमआरडीएनएस फॉल-बैक डोमेन सेफ़रट्रस्ट[.]bazar ने हाल ही में IP पते पर 195.123.237 का समाधान किया[.]156. संयोग से नहीं, यह नेटवर्क पड़ोस भी बाज़ार मालवेयर नियंत्रण सर्वरों को होस्ट करता है। ”

एंकर मैलवेयर और उसके संचालन के तरीकों, जैसे एंकर और बाजार के बीच साझा बुनियादी ढांचे के साथ कोड समानता के कारण शोधकर्ताओं ने पहले ट्रोबबॉट के पीछे एक ही समूह में बाज़ार मैलवेयर परिवार के विकास को जिम्मेदार ठहराया। 12 अक्टूबर, 2020 को फॉल-बैक डोमेन आईपी एड्रेस 23.92.93 के लिए हल हो गया[.]233, जिसकी पुष्टि इंटेल 471 मैलवेयर इंटेलिजेंस सिस्टम ने मई 2019 में एक ट्रिकबोट कंट्रोलर यूआरएल के रूप में की थी। इससे पता चलता है कि फॉल-बैक डोमेन अभी भी इस रिपोर्ट के समय ट्रिकबोट ऑपरेटरों द्वारा नियंत्रित किया जाता है। “

इंटेल 471 ने निष्कर्ष निकाला कि Microsoft कार्रवाई ने अब तक botnet की गतिविधि को बाधित करने के लिए बहुत कम किया है।

“इस रिपोर्ट के समय, इंटेल 471 ने ट्रिकबोट के संक्रमित सिस्टम के साथ ट्रिकबोट के बुनियादी ढांचे और संचार करने की क्षमता पर कोई महत्वपूर्ण प्रभाव नहीं देखा है,” कंपनी ने लिखा है।

Microsoft से कानूनी फाइलिंग यहाँ उपलब्ध है।

अपडेट, 9:51 बजे ईटी: फोडो ट्रैकर अब जवाब देने के रूप में सिर्फ छह ट्रिकबोट नियंत्रकों को सूचीबद्ध करता है। पिछले 48 घंटों में सभी छह को पहली बार ऑनलाइन देखा गया था। इंटेल 471 से भी परिप्रेक्ष्य जोड़ा गया।

यह प्रविष्टि सोमवार, 12 अक्टूबर, 2020 को सुबह 8:52 बजे पोस्ट की गई थी और रैंसमवेयर, द कमिंग स्टॉर्म के तहत दायर की गई थी।
आप आरएसएस 2.0 फ़ीड के माध्यम से इस प्रविष्टि के लिए किसी भी टिप्पणी का अनुसरण कर सकते हैं।

आप अंत तक छोड़ सकते हैं और एक टिप्पणी छोड़ सकते हैं। अभी पिंग करने की अनुमति नहीं है।