L’infrastructure backend du botnet TrickBot a été désactivée grâce au travail de Microsoft et d’une coalition d’entreprises de sécurité et de télécoms.
L’équipe Defender du géant du logiciel a travaillé avec FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT et la division de cybersécurité Symantec de Broadcom pour accomplir l’exploit qui a nécessité des mois de préparation.
Repéré pour la première fois en 2016, TrickBot était initialement un cheval de Troie bancaire qui a succédé à Dyre avant d’évoluer pour effectuer un certain nombre d’autres activités malveillantes, notamment se propager latéralement à travers un réseau, voler les informations d’identification enregistrées dans les navigateurs, voler des cookies et infecter les machines Linux.
Le malware est généralement diffusé via des campagnes par e-mail qui tirent parti des événements actuels ou des leurres financiers afin d’inciter les utilisateurs à ouvrir des pièces jointes malveillantes ou des liens vers des sites Web hébergeant des fichiers malveillants. Après avoir infecté un système avec TrickBot, les cybercriminels l’ont ensuite utilisé pour installer des outils de reconnaissance tels que PowerShell Empire, Metasploit et Cobalt Strike pour voler des informations d’identification et de configuration du réseau.
Sommaire
Retirer TrickBot
Afin de supprimer le botnet TrickBot, Microsoft, ESET, Symantec et d’autres partenaires ont passé des mois à collecter plus de 125 000 échantillons du malware. Ils ont ensuite analysé ces échantillons et extrait et mappé des informations sur le fonctionnement du malware, y compris les serveurs utilisés par le botnet pour contrôler les ordinateurs infectés.
Après avoir collecté ces informations sur le fonctionnement interne de TrickBot, Microsoft s’est ensuite adressé au tribunal de district américain du district oriental de Virginie, où la société a demandé à un juge de lui accorder le contrôle des serveurs du botnet.
Vice-président de la sécurité et de la confiance des clients chez Microsoft, Tom Burt a fourni des informations supplémentaires sur la façon dont l’entreprise a utilisé la décision du tribunal pour désactiver l’infrastructure backend de TrickBot dans un article de blog, en disant:
«En observant les ordinateurs infectés se connecter et recevoir des instructions des serveurs de commande et de contrôle, nous avons pu identifier les adresses IP précises de ces serveurs. Avec ces preuves, le tribunal a autorisé Microsoft et nos partenaires à désactiver les adresses IP, à rendre inaccessible le contenu stocké sur les serveurs de commande et de contrôle, à suspendre tous les services aux opérateurs de botnet et à bloquer tout effort des opérateurs de Trickbot pour acheter ou louer des serveurs supplémentaires. »
Alors que TrickBot semble être hors service pour le moment, le botnet pourrait revenir car d’autres botnets ont réussi à survivre à des tentatives de retrait similaires dans le passé. Seul le temps nous dira si les efforts de Microsoft et de son partenaire ont été couronnés de succès, mais même dans ce cas, un autre botnet se lèvera probablement pour prendre la place de TrickBot.
Via ZDNet
