一个由技术公司组成的联盟利用周一宣布的一项联邦法院命令开始拆除世界上最危险的僵尸网络之一，以期在下个月的美国总统大选之前抢先破坏性的网络攻击。巨型微软公司，并涉及多个国家的电信提供商。如果操作成功，它将禁用由流行的恶意软件Trickbot创建的受感染计算机的全球网络。

从星期一开始，预计Trickbot操作员将在几个月甚至几年的时间内开始失去与他们精心感染的数百万台计算机的通信。僵尸网络的丢失(众所周知，它是受感染计算机的网络)，将使俄罗斯的网络犯罪分子和其他数字掠夺者更加难以开展工作。如果有的话，犯罪分子可能要花费数月或数年的时间才能康复。

另请阅读：微软的Edge凭借其86版中的这些新功能，距离Google Chrome更近了

微软公司客户安全与信任部门副总裁汤姆·伯特说，通过大幅拆除Trickbot的网络，微软及其合作伙伴相信，他们很可能会在11月3日美国总统大选之前对勒索软件进行攻击，从而可能破坏投票系统。

伯特说：“他们可能会牵连选民的登记角色，选举之夜的报告结果，并且通常会造成极大的破坏。“我们希望剔除最臭名昭著的恶意软件组之一，将减少勒索软件对今年大选产生影响的风险。”尽管法律和技术上的障碍，在过去几年中，像一个星期一这样的协调下调已经越来越普遍。涉及的是实质性的。在这种情况下，微软及其合作伙伴能够获得基于Trickbot侵犯微软商标的联邦法院命令，但最终目的是断开攻击者用来控制恶意软件的通信渠道，并向联邦法官提供证据-以及通过利用外国公司遵守美国的要求法律-私营公司在拆除大型网络犯罪团伙的全球基础设施方面可以像政府一样有效。但是在这种情况下，微软和美国政府可能会采取某些相同的立场。

《华盛顿邮报》上周报道说，在微软及其合作伙伴为接管行动做准备的同时，美国网络司令部开展了一项无关的行动，以临时破坏Trickbot，以防止下个月大选之前出现问题。当被问及政府袭击事件时，国防部发言人拉塞尔·古埃梅尔(Russell Goemaere)说：“就政策而言，我们无法对正在进行的行动发表评论。”众所周知，Trickbot恶意软件已被多个犯罪集团使用，其中包括至少两个主要的东欧或俄罗斯勒索软件。帮派。这些犯罪黑客专门研究用户受感染计算机上的数据，然后要求资金以恢复对合法所有者的访问。其中一个名为Conti的团伙似乎专门针对美国地方和州政府，Brett Callow说，新西兰网络安全公司Emsisoft的威胁分析师。Trickbot广泛认可的另一个勒索软件团伙称为Ryuk。据Emsisoft称，自1月以来，至少有78个政府实体受到了勒索软件攻击。

俄罗斯与其中一些袭击的联系尤其令人担忧。自2016年以来，国土安全部，网络研究人员和西方情报部门多次警告俄罗斯将进一步干预2020年大选，特别是使用勒索软件。

伯特说，微软的举动相当于对美国选举基础设施的有力防御，据悉，俄罗斯黑客在2016年袭击了美国50个州的民主党电子邮件和目标选举系统后，脆弱的防御体系被证明很脆弱。恶意软件，因为它能够在未检测到的网络中旋转和传播。它通常嵌入计算机和互联网连接的设备内部。彻底映射计算机网络之后，Trickbot攻击者将搜索密码和其他存储的数据，以从银行和金融服务网站窃取资金。

在某些情况下，Trickbot的运营商随后将这些感染的计算机移交给Ryuk和Conti等勒索软件组，然后再对数据进行加密，直到用户支付高额的赎金为止.Microsoft和合作伙伴在今年的调查中分析了大约61,000种Trickbot恶意软件样本。 。在此过程中，研究人员故意用TrickBot恶意软件感染了自己的几台计算机。“这将计算机置于网络罪犯的控制之下，”这使Microsoft的研究人员可以监视Trickbot与受感染计算机的通信。法庭文件显示，这项研究帮助确定了Trickbot通信平台的各个层次，并最终帮助Microsoft绘制了僵尸网络。

在Trickbot撤消计划中，微软的合作伙伴包括FS-ISAC，即金融服务信息共享和分析中心。它的成员，包括许多大型银行，一直在研究Trickbot，它最初是一家银行木马，多年来。

FS-ISAC情报负责人Teresa Walsh表示，为了帮助微软进行打击，该组织使用了八个成员的样本，并收集了一年半时间内使用Trickbot进行的500次欺诈尝试的数据。坏演员试图在这些尝试中偷走700万美元，并成功地吸走了100万美元。沃尔什说，僵尸网络已经瞄准了全球300多家银行，并且已经超越了银行木马。