# Operation Trickbot Takedown > [!high] Microsoft e USCYBERCOM desmantelaram 120 de 128 servidores C2 do TrickBot em outubro de 2020 para proteger eleições americanas e hospitais > Em outubro de 2020, uma operação sem precedentes liderada pela **Microsoft** em parceria com provedores de telecomúnicações e o **US Cyber Command** neutralizou temporariamente a infraestrutura do [[s0266-trickbot|TrickBot]], uma das maiores botnets do mundo. A motivação combinava dois vetores urgentes: o risco de ataques de ransomware [[ryuk-ransomware|Ryuk]] contra hospitais durante a pandemia e a ameaça de interferência nas eleições presidenciais americanas de novembro de 2020. ## Visão Geral A **Operation Trickbot Takedown** foi uma das primeiras grandes operações coordenadas de disrupcao de botnet envolvendo setor privado e governo americano em conjunto. O [[s0266-trickbot|TrickBot]], operado pelo grupo [[g0102-conti-group|Wizard Spider]] (rastreado como UNC1878/TEMP.MixMaster), havia crescido para infectar mais de 1 milhao de dispositivos Windows desde 2016, evoluindo de um trojan bancario derivado do Dyre para uma plataforma modular de malware-as-a-service usada para entregar ransomware [[ryuk-ransomware|Ryuk]] e outros payloads destrutivos. A abordagem juridica da Microsoft foi inovadora: em vez de usar legislacao anti-hacking convencional, a empresa obteve uma ordem judicial citando violação de **direitos autorais** e marca registrada - o TrickBot copiava código da Microsoft e usava infraestrutura de nuvem da empresa sem autorização. Isso abriu um precedente legal para takedowns privados de infraestrutura criminosa que seria replicado em operações subsequentes. Simultaneamente, o **US Cyber Command** conduziu uma operação ofensiva classificada de "engajamento persistente" - enviando comandos diretamente para bots infectados para desativar conexoes C2 e cortar a comunicação entre o malware e seus operadores. Essa foi uma das primeiras operações ofensivas ciberneticas do USCYBERCOM públicamente reconhecidas contra infraestrutura criminosa. O resultado: dentro de dias, **120 dos 128 servidores C2 identificados** foram desativados - uma taxa de sucesso de 94%. Porém, o [[g0102-conti-group|Wizard Spider]] recuperou capacidades operacionais em semanas, migrando para nova infraestrutura e retomando operações, demonstrando a resiliencia dos grandes grupos de cibercrime. Para o Brasil, o TrickBot tinha presenca ativa em redes corporativas brasileiras, com campanhas de phishing em portugues detectadas por [[_microsoft|Microsoft]] e [[_crowdstrike|CrowdStrike]] entre 2019 e 2020. A disrupcao temporaria reduziu o risco de ransomware Ryuk para organizacoes brasileiras no período eleitoral americano. ## Attack Flow ```mermaid graph TB A["Phishing inicial<br/>Email com documento Word malicioso<br/>ou link para download de malware"] --> B["Instalacao do TrickBot<br/>Módulo bancario + loader<br/>Persistência via registro Windows"] B --> C["Reconhecimento interno<br/>Enumeracao AD, compartilhamentos SMB<br/>Coleta de credenciais"] C --> D["Movimento lateral<br/>SMB/EternalBlue para<br/>propagar pela rede corporativa"] D --> E["Exfiltração de dados<br/>Credenciais bancarias, dados<br/>sensiveis de RH e financas"] E --> F["Entrega do Ryuk<br/>TrickBot como dropper para<br/>ransomware Ryuk final stage"] F --> G["Criptografia total<br/>Ryuk encripta servidores<br/>Resgaté de US$ 300k-10M"] ``` ## Cronologia ```mermaid timeline title TrickBot - Da Criação ao Takedown 2016-09 : TrickBot surge como trojan bancario derivado do Dyre 2017-01 : Primeiras campanhas massivas contra bancos europeus 2018-06 : Módulo worm - propagação via EternalBlue/SMB 2019-03 : Parceria com Ryuk - TrickBot entrega ransomware a hospitais 2020-09 : Campanhas contra hospitais durante pandemia COVID-19 2020-10-01 : USCYBERCOM inicia operação de disrupcao cibernetica 2020-10-12 : Microsoft obtém ordem judicial - teoria de copyright 2020-10-18 : 120 de 128 servidores C2 desativados em 94% da infra 2020-11 : Wizard Spider retoma operacoes com nova infraestrutura 2021-10 : Novo takedown global - 10 paises, TrickBot derrubado novamente ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao | |--------|---------|-----|------------| | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Documentos Word maliciosos e links de download | | Lateral Movement | SMB/Windows Admin Shares | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Propagação via EternalBlue e credenciais SMB | | Command and Control | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de módulos adicionais do TrickBot | | Execution | Command Scripting | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell e cmd para execução de módulos | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ryuk ransomware como payload final via TrickBot | ## Arquitetura do TrickBot O [[s0266-trickbot|TrickBot]] era uma plataforma modular com múltiplos componentes independentes: - **Core bot** - Loader principal com mecanismo de persistência e atualização - **pwgrab** - Roubo de credenciais de browsers e clientes de email - **networkDll** - Enumeracao de rede interna e mapeamento AD - **wormDll** - Propagação via SMB/EternalBlue para ampliar infecção - **rdpScanDll** - Scan de credenciais RDP para acesso remoto - **Anchor** - Backdoor avancado reservado para alvos de alto valor (bancos, governo) ## Impacto e Resultados **Disrupcao imediata:** - 120 de 128 servidores C2 identificados foram desativados - Bots infectados perderam conexão com infraestrutura de controle - Risco de ataque Ryuk contra hospitais americanos foi temporariamente reduzido **Limitacoes da operação:** - O [[g0102-conti-group|Wizard Spider]] recuperou capacidades em semanas com nova infraestrutura - Estima-se que apenas 1-5% dos bots infectados foram efetivamente desinfectados - A operação interrompeu mas nao eliminou o grupo - demonstrando os limites de takedowns pontuais **Precedente legal:** - A teoria de copyright da Microsoft abriu caminho para acoes similares contra outras botnets - Demonstrou que setor privado + governo podem coordenar takedowns sem depender exclusivamente de arrests de operadores ## Relevância LATAM e Brasil O [[s0266-trickbot|TrickBot]] tinha presenca documentada no Brasil entre 2019 e 2021. Campanhas de phishing em portugues brasileiro distribuiam amostras TrickBot direcionadas ao setor financeiro brasileiro, com foco em internet banking corporativo. A conexão TrickBot-[[ryuk-ransomware|Ryuk]] representava risco direto para hospitais e infraestrutura critica brasileira - o mesmo vetor que custou a vida de pacientes alemães quando o Hospital Universitario de Dusseldorf foi atingido pelo Ryuk em setembro de 2020. Organizacoes brasileiras com infeccoes TrickBot ativas em outubro de 2020 foram beneficiadas pela disrupcao, mas deveriam ter auditado sistemas para verificar se a infecção TrickBot foi completamente removida e nao apenas silenciada pela queda do C2. ## Mitigação **Acoes técnicas:** - Monitorar processo `svchost.exe` para DLLs carregadas de caminhos incomuns (TrickBot persistence) - Bloquear trafego SMBv1 em toda a rede - vetor primario de propagação worm - Implementar [[m1049-antivirus-antimalware|M1049]] - EDR com detecção comportamental de módulos TrickBot - Auditar contas privilegiadas para credenciais comprometidas via pwgrab **Controles estratégicos:** - Treinar funcionarios para identificar phishing com documentos Word habilitados por macro - Segmentar rede para limitar propagação SMB entre segmentos criticos - Implementar backup 3-2-1 com copia offline para resiliencia contra Ryuk ## Referências - [1](https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-disruption/) Microsoft - New Action to Combat Ransomware Ahead of U.S. Election (2020) - [2](https://therecord.media/cyber-command-has-been-secretly-helping-microsoft-disrupt-trickbot/) The Record - US Cyber Command Helped Disrupt TrickBot (2020) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-076a) CISA/FBI - TrickBot Malware Advisory AA21-076A (2021) - [4](https://attack.mitre.org/software/S0266/) MITRE ATT&CK - TrickBot S0266 - [5](https://www.crowdstrike.com/blog/wizard-spider-adversary-update/) CrowdStrike - WIZARD SPIDER Profile and TrickBot Analysis (2021)