Una operación global contra los servidores de mando y control de la botnet (red de bots) Trickbot espera tener como consecuencia reducir, al menos temporalmente, uno de los métodos de ataque de ransomware (secuestro de datos) más populares en el último año.

Trickbot era usado junto a programas maliciosos como Emotet y Ryuk para alcanzar, inspeccionar y cifrar los servidores de empresas y organizaciones. “Es una de las botnets más peligrosas hoy por el número de máquinas infectadas y por la cadena que formaban Emotet, Trickbot y Ryuk”, dice Josep Albors, responsable de investigación de ESET España, una de las organizaciones que ha participado en la operación, junto a Microsoft, NTT y el centro de investigación Black Lotus Labs de Lumen.

En España, ha habido docenas de ataques de este triunvirato, aunque pocos suelen salir a la luz.

El Ayuntamiento de Jerez fue uno de los más notables y donde salieron todos los detalles. Pero no fue claramente el único.

En el último informe del Centro Criptográfico Nacional (CCN), publicado en septiembre de 2020, dan las cifras de 2019: “Durante 2019 se pudo ver una escalada de ataques sofisticados dirigidos a múltiples sectores, entre los que se encuentra la Administración

Pública. La mayoría de los ataques fueron el resultado de la cooperación entre varias amenazas, y un ejemplo de ello es la distribución masiva de Emotet/Trickbot a través de sucesivas campañas de distribución de correos maliciosos”, dice el informe del CCN.

La operación no significa, ni mucho, menos el fin de Trickbot, sino un intento de mitigación de sus consecuencias, al menos temporal. Este es solo un eslabón de estas operaciones: “Es más bien un balón de oxígeno para que las empresas puedan prepararse mejor”, dice Albors. En ESET valoran distintas posibilidades para el futuro de este ataque: “Desestabiliza a los delincuentes y tardan unos meses en salir o incluso no llegan a salir más porque hay gente investigando detrás.

Aunque también pueden esperar y cambiar su método de ataque. Aunque también pueden intentar reaccionar y recuperar esos centros de mando porque tengan capacidad y seguir infectando”, explica.

A pesar de que la desactivación de los centros de mando depende de las fuerzas policiales, en los paneles de ESET, se ve cierto bajón en la actividad de Emotet y Trickbot: “Desde el 2 de octubre, Emotet está bajo mínimos. Trickbot bajó en agosto, recuperó en septiembre, pero desde finales de septiembre, apenas sale”, explica Albors. “Esto podría estar vinculado a nuestra operación o no, porque a veces hacen temporadas de vacaciones, quizá para invertir su dinero o desaparecer del radar cuando temen algo. Por ejemplo, desaparecieron en febrero y hasta julio no volvieron”, explica.