Coup d’arrêt pour le botnet Trickbot
Une coalition d’entreprises technologiques a annoncé aujourd’hui un effort coordonné pour démanteler l’infrastructure du botnet malveillant TrickBot.
Les entreprises et organisations qui ont participé au démantèlement regroupent l’équipe Defender de Microsoft, FS-ISAC, ESET, les Black Lotus Labs de Lumen, NTT et la division cybersécurité de Broadcom, Symantec.
Auparavant, plusieurs investigations portant sur l’infrastructure de TrickBot, ses serveurs et modules de logiciels malveillants avaient été initiés par les participants.
Microsoft, ESET, Symantec et leurs partenaires ont passé des mois à collecter plus de 61000 échantillons de logiciels malveillants Trickbot, à analyser leur contenu, à extraire et à cartographier des informations sur le fonctionnement interne de ces logiciels malveillants, ainsi que sur les serveurs utilisés par le botnet pour contrôler les ordinateurs infectés et diffuser des modules supplémentaires.
Avec ces informations en main, Microsoft est allé au tribunal ce mois-ci et a demandé à un juge de lui accorder le contrôle sur les serveurs TrickBot.
« Avec ces preuves, le tribunal a autorisé Microsoft et nos partenaires à désactiver les adresses IP, à rendre inaccessible le contenu stocké sur les serveurs de commande et de contrôle, à suspendre tous les services accessibles aux opérateurs de botnet et à bloquer les efforts des opérateurs de Trickbot pour acheter ou louer des serveurs supplémentaires », a déclaré Microsoft dans un communiqué de presse publié aujourd’hui.
Des efforts sont actuellement déployés avec les fournisseurs d’accès Internet (FAI) et les équipes de réponse aux urgences informatiques (CERT) du monde entier pour informer les utilisateurs infectés.
TrickBot a infecté plus d’un million d’ordinateurs
Selon les membres de la coalition, le botnet TrickBot a infecté plus d’un million d’ordinateurs au moment de son démantèlement. Certains de ces systèmes infectés sont également des objets connectés.
Le botnet TrickBot était l’un des plus grands botnets actuels.
Le logiciel malveillant a débuté en 2016 en tant que cheval de Troie bancaire avant de se transformer en un dropper de logiciels malveillants (un logiciel malveillant spécialisé dans la diffusion d’autres logiciels, NDLR) polyvalent qui infectait les systèmes. Trickbot permettait à ses opérateurs de revendre à d’autres groupes criminels l’accès à certains réseaux infectés, selon un modèle économique connu sous le nom de Maas (Malware as a service).
Aux côtés d’Emotet, TrickBot est l’une des plates-formes MaaS les plus actives d’aujourd’hui, offrant ses accès à des ordinateurs infectés à des groupes de ransomwares tels que Ryuk et Conti.
Cependant, les opérateurs de TrickBot ont également déployé des chevaux de Troie bancaires et des chevaux de Troie voleurs d’informations, et ont également vendu leurs accès aux réseaux d’entreprise à des escrocs, à des groupes d’espionnage industriel et même des groupes cybercriminels soutenus par des gouvernements.
Il s’agit du deuxième botnet majeur démantelé cette année après le botnet Necurs en mars.
Source : ZDNet.com
