Trickbot : déstabilisation du botnet pourvoyeur de ransomwares. Mais il bouge encore...

Le par Jérôme G.  |  2 commentaire(s)
securite

Touché mais sans doute pas coulé. L'infrastructure principale du botnet Trickbot vient d'être ébranlée. Il a infecté plus d'un million d'appareils et affectionne les ransomwares.

Formé de Microsoft, FS-ISAC, ESET, Lumen's Black Lotus Labs, NTT et Symantec, un groupe international s'est attaqué au botnet Trickbot dans ce qui est présenté comme une opération visant à le déstabiliser.

" Nous avons perturbé Trickbot grâce à une ordonnance du tribunal (ndlr : auprès de la justice américaine) que nous avons obtenue, ainsi qu'à une action technique que nous avons exécutée en partenariat avec des fournisseurs de télécommunications du monde entier ", écrit Microsoft.

Selon Microsoft, qui précise avoir analysé de son côté près de 61 000 échantillons du malware Trickbot, l'infrastructure clé a été coupée et les opérateurs de Trickbot ne seront plus en mesure de lancer de nouvelles infections ou d'activer des ransomwares déjà déposés dans des systèmes informatiques.

Il faut essentiellement comprendre que des adresses IP de serveurs de commande et contrôle du botnet ont été identifiées et neutralisées. Le contenu stocké sur les serveurs est alors inaccessible, les services du botnet sont suspendus et les opérateurs du botnet sont bloqués dans leurs tentatives d'obtenir des serveurs supplémentaires.

Trickbot aurait infecté plus d'un million d'appareils dans le monde depuis 2016 et parfois des objets connectés (IoT). Symantec le présente comme un important botnet composé d'ordinateurs infectés par le cheval de Troie Trickbot. Ce dernier est modulaire, de sorte qu'il peut facilement être adapté avec des composants pour mener diverses actions malveillantes.

Le malware se propage via des campagnes de spam et phishing par email, notamment avec une pièce jointe Microsoft Word piégée contenant des macros malveillantes. Trickbot essaie en outre d'exploiter des vulnérabilités connues pour se répandre sur le réseau d'une victime.

trickbot-symantec
Symantec considère que Trickbot est principalement utilisé pour le vol d'identifiants d'ordinateurs infectés et la distribution d'autres malwares, parmi lesquels des ransomwares. D'après ESET, l'installation de ransomwares serait relativement récente pour Trickbot, mais avec un effet qualifié de dévastateur. L'éditeur ajoute que Trickbot a également pu être distribué sur des systèmes déjà infectés par Emotet.

Comme souvent dans ce genre de situation, une victoire face à un imposant botnet peut n'être que temporaire. D'autant plus qu'une poignée de serveurs de commande et contrôle pour Trickbot est manifestement toujours active.

Microsoft replace l'action menée à l'encontre du botnet Trickbot dans le contexte de la lutte contre les ransomwares à l'approche des élections américaines. C'est le mystère sur l'identité des opérateurs du botnet, si ce n'est qu'ils sont… russophones.

Complément d'information

Vos commentaires

Trier par : date / pertinence
Le #2110631
Achevez-le à la bêche !
Le #2110639
Belle réaction des opérateurs
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar