Formé de Microsoft, FS-ISAC, ESET, Lumen's Black Lotus Labs, NTT et Symantec, un groupe international s'est attaqué au botnet Trickbot dans ce qui est présenté comme une opération visant à le déstabiliser.
" Nous avons perturbé Trickbot grâce à une ordonnance du tribunal (ndlr : auprès de la justice américaine) que nous avons obtenue, ainsi qu'à une action technique que nous avons exécutée en partenariat avec des fournisseurs de télécommunications du monde entier ", écrit Microsoft.
Selon Microsoft, qui précise avoir analysé de son côté près de 61 000 échantillons du malware Trickbot, l'infrastructure clé a été coupée et les opérateurs de Trickbot ne seront plus en mesure de lancer de nouvelles infections ou d'activer des ransomwares déjà déposés dans des systèmes informatiques.
Microsoft took action against the Trickbot botnet, disrupting one of the world’s most persistent malware operations. In this blog, we detail the evolution of Trickbot, associated tactics, recent campaigns, and dive into the anatomy of a specific attack. https://t.co/AWhEIZHxgK
— Microsoft Security Intelligence (@MsftSecIntel) October 12, 2020
Il faut essentiellement comprendre que des adresses IP de serveurs de commande et contrôle du botnet ont été identifiées et neutralisées. Le contenu stocké sur les serveurs est alors inaccessible, les services du botnet sont suspendus et les opérateurs du botnet sont bloqués dans leurs tentatives d'obtenir des serveurs supplémentaires.
Trickbot aurait infecté plus d'un million d'appareils dans le monde depuis 2016 et parfois des objets connectés (IoT). Symantec le présente comme un important botnet composé d'ordinateurs infectés par le cheval de Troie Trickbot. Ce dernier est modulaire, de sorte qu'il peut facilement être adapté avec des composants pour mener diverses actions malveillantes.
Le malware se propage via des campagnes de spam et phishing par email, notamment avec une pièce jointe Microsoft Word piégée contenant des macros malveillantes. Trickbot essaie en outre d'exploiter des vulnérabilités connues pour se répandre sur le réseau d'une victime.
Symantec considère que Trickbot est principalement utilisé pour le vol d'identifiants d'ordinateurs infectés et la distribution d'autres malwares, parmi lesquels des ransomwares. D'après ESET, l'installation de ransomwares serait relativement récente pour Trickbot, mais avec un effet qualifié de dévastateur. L'éditeur ajoute que Trickbot a également pu être distribué sur des systèmes déjà infectés par Emotet.
Comme souvent dans ce genre de situation, une victoire face à un imposant botnet peut n'être que temporaire. D'autant plus qu'une poignée de serveurs de commande et contrôle pour Trickbot est manifestement toujours active.
Microsoft replace l'action menée à l'encontre du botnet Trickbot dans le contexte de la lutte contre les ransomwares à l'approche des élections américaines. C'est le mystère sur l'identité des opérateurs du botnet, si ce n'est qu'ils sont… russophones.
