Vidéo : coup d’arrêt pour le botnet Trickbot

Spread the love
Vidéo : coup d’arrêt pour le botnet Trickbot

Une coalition d’entreprises technologiques a annoncé aujourd’hui un effort coordonné pour démanteler l’infrastructure du botnet malveillant TrickBot.

Les entreprises et organisations qui ont participé au démantèlement regroupent l’équipe Defender de Microsoft, FS-ISAC, ESET, les Black Lotus Labs de Lumen, NTT et la division cybersécurité de Broadcom, Symantec.

Auparavant, plusieurs investigations portant sur l’infrastructure de TrickBot, ses serveurs et modules de logiciels malveillants, avaient été initiés par les participants.

publicité

Plus de 61 000 échantillons

Microsoft, ESET, Symantec et leurs partenaires ont passé des mois à collecter plus de 61 000 échantillons de logiciels malveillants Trickbot, à analyser leur contenu, à extraire et à cartographier des informations sur leur fonctionnement interne, ainsi que sur les serveurs utilisés par le botnet pour contrôler les ordinateurs infectés et diffuser des modules supplémentaires.

Avec ces informations en main, Microsoft est allé au tribunal ce mois-ci et a demandé à un juge de lui accorder le contrôle sur les serveurs TrickBot. « Avec ces preuves, le tribunal a autorisé Microsoft et nos partenaires à désactiver les adresses IP, à rendre inaccessible le contenu stocké sur les serveurs de commande et de contrôle, à suspendre tous les services accessibles aux opérateurs de Trickbot et à bloquer leurs efforts pour acheter ou louer des serveurs supplémentaires », explique Microsoft dans un communiqué de presse publié aujourd’hui.

Des efforts sont actuellement déployés avec les fournisseurs d’accès internet (FAI) et les équipes de réponse aux urgences informatiques (CERT) du monde entier pour informer les utilisateurs infectés.

TrickBot a infecté plus d’un million d’ordinateurs

Selon les membres de la coalition, le botnet TrickBot a infecté plus d’un million d’ordinateurs au moment de son démantèlement. Certains de ces systèmes infectés sont également des objets connectés. Le botnet TrickBot était l’un des plus grands botnets actuels.

Le logiciel malveillant a débuté en 2016 comme cheval de Troie bancaire, avant de se transformer en un dropper de malwares (un logiciel malveillant spécialisé dans la diffusion d’autres logiciels, NDLR) polyvalent qui infecte les systèmes. Trickbot permet à ses opérateurs de revendre à d’autres groupes criminels l’accès à certains réseaux infectés, selon un modèle économique connu sous le nom de Maas (Malware-as-a-service). Aux côtés d’Emotet, TrickBot est l’une des plateformes MaaS les plus actives d’aujourd’hui, proposant ses accès à des ordinateurs infectés à des groupes de ransomwares tels que Ryuk et Conti.

Cependant, les opérateurs de TrickBot ont également déployé des chevaux de Troie bancaires et voleurs d’informations, et ont également vendu leurs accès aux réseaux d’entreprise à des escrocs, à des groupes d’espionnage industriel et même des groupes cybercriminels soutenus par des gouvernements.

Il s’agit du deuxième botnet majeur démantelé cette année, après Necurs en mars dernier.

Source : ZDNet.com

Leave a Reply