Microsoft asegura haber logrado desactivar el 94% de las máquinas utilizadas por un grupo de ciberdelincuentes rusos que tenían el potencial de inferir en las elecciones presidenciales de Estados Unidos del próximo mes de noviembre.

La semana pasada, y valiéndose de una orden judicial federal, la compañía de Redmond, junto con otras empresas como Symantec y ESET, se hizo cargo de eliminar a esta red de botnets, de nombre Trickbot,  que había instalado malware en numerosas empresas y administraciones públicas del país.

“Hemos acabado con la mayor parte de su infraestructura”, anunció el vicepresidente corporativo de la tecnológica de Redmond, Tom Burt, en una entrevista de la que se hace eco Reuters. “Su capacidad para infectar objetivos se ha reducido significativamente”.

Así se realizó la operación

En un comunicado difundido este miércoles, Microsoft informa que desde el 18 de octubre, ha trabajado con socios de todo el mundo para eliminar el 94% de la infraestructura operativa crítica de Trickbot. En un inicio, se identificaron 69 servidores alrededor del mundo que eran centrales para las operaciones de este bot, de las cuales se deshabilitaron 62. “Los siete servidores restantes no son de comando y control tradicionales, sino dispositivos de Internet de las Cosas (IoT) que Trickbot infectó y que utilizaba como parte de la infraestructura del servidor; estos se encuentran en proceso de ser inhabilitados”. 

Como se esperaba, los criminales que operan a Trickbot se apresuraron a reemplazar la infraestructura que se inhabilitó en un principio. Se rastreó de cerca su actividad y fueron identificados 59 nuevos servidores que intentaron añadir a su infraestructura.

De acuerdo con Microsoft, ya se inhabilitaron todos los servidores menos uno. En resumen, desde el momento que comenzó la operación, hasta el 18 de octubre de 2020, Microsoft ha eliminado 120 de los 128 servidores que fueron identificados como infraestructura de Trickbot en todo el mundo.

Cabe señalar que este virus podía validar a los cibercriminales para cifrar los equipos a través del ransomware Ryuk e instalar programas que saboteasen los registros de votantes de los comicios. Y, aunque no hay evidencia de que el grupo haya trabajado con gobiernos extranjeros,  Burt indicó que era necesario interrumpir a Trickbot para evitar cualquier interferencia.

En cualquier caso, el grupo está tratando de recomponerse y se espera que reconstruya su infraestructura, de la que han quedado algunos retazos en países como Brasil, Colombia o Indonesia. “Tales esfuerzos de reconstrucción llevarán a Trickbot a alejarse de crear el caos en la votación”.