Le botnet Trickbot survit aux assauts de l’armée US et de plusieurs éditeurs
Cible d’opérations récentes de l’armée US et de plusieurs éditeurs dont Eset, Microsoft et Symantec, le botnet Trickbot - l’un des plus grands et néfastes - a rapidement relancé ses activités.
Trickbot, l’un de botnet qui créent le plus de ravage depuis des années, vient de survivre à d'importantes opérations de démantèlement. Fin septembre, l'armée US est parvenu à perturber les serveurs contrôlant le botnet, a fait savoir le Washington Post. L'objectif n’était pas de démanteler de façon permanente le réseau dirigé par des criminels russophones, mais de les déstabiliser et de les empêcher de nuire au moins un certains temps. C’est ensuite une coalition d’éditeurs qui s’en est pris à ce botnet, lors d’une opération impliquant notamment les équipes d’Eset, de Microsoft, de NTT et de Symantec.
Trickbot, détecté fin 2016, est l’un des plus grand réseau botnet, souligne Eset. D'abord spécialisé dans les malwares bancaires, son architecture modulaire lui permet désormais d'exécuter un vaste éventail d'actions malveillantes à l'aide de divers plugins. Récemment, il a été identifié en tant que mécanisme de livraison pour des attaques dommageables exploitant des ransomwares.
La coalition d'éditeurs a pu identifier des détails opérationnels du réseau Trickbot, notamment l'infrastructure utilisée pour communiquer avec les ordinateurs des victimes et les contrôler, ainsi que les adresses IP précises de ces serveurs. «Grâce à ces preuves, le tribunal a autorisé Microsoft et ses partenaires à désactiver les adresses IP, à rendre inaccessible le contenu stocké sur les serveurs de commande et de contrôle, à suspendre tous les services aux opérateurs de botnet et à bloquer toute tentative des opérateurs de Trickbot d'acheter ou de louer des serveurs supplémentaires», explique Microsoft. Avant d’ajouter anticiper que les opérateurs de Trickbot réagissent rapidement pour relancer leurs opérations. Ce qui semble déjà être le cas.
Les serveurs et domaines de commande et de contrôle de Trickbot ont été remplacés par une nouvelle infrastructure mardi 13 octobre, selon de multiples sources de la communauté infosec s’étant confiés au site spécialisé ZDNet. Mais les efforts à l’encontre du réseau cybercriminel ne visaientt pas seulement à démanteler les serveurs. Il s'agissait également d'augmenter les coûts pour les auteurs de Trickbot et de retarder des opérations malveillantes en cours.
