Au cours des 10 derniers jours, quelqu’un a lancé une série d’attaques coordonnées visant à perturber Trickbotune énorme collection de plus de deux millions de PC Windows infectés par des logiciels malveillants qui sont constamment exploités pour des données financières et sont souvent utilisés comme point d’entrée pour le déploiement de ransomwares au sein d’organisations compromises.
Un extrait de texte de l’une des fausses mises à jour de configuration de Trickbot. Source : Intel 471
Le 22 septembre, quelqu’un a envoyé un nouveau fichier de configuration aux ordinateurs Windows actuellement infectés par Trickbot. Les escrocs exécutant le botnet Trickbot utilisent généralement ces fichiers de configuration pour transmettre de nouvelles instructions à leur flotte de PC infectés, telles que l’adresse Internet où les systèmes piratés doivent télécharger de nouvelles mises à jour du logiciel malveillant.
Mais le nouveau fichier de configuration poussé le 22 septembre indiquait à tous les systèmes infectés par Trickbot que leur nouveau serveur de contrôle des logiciels malveillants avait l’adresse 127.0.0.1, qui est une adresse « localhost » qui n’est pas accessible sur l’Internet public, selon une analyse par cabinet de cyber intelligence Intel 471.
On ne sait pas combien de systèmes infectés par Trickbot ont reçu la fausse mise à jour, mais il semble clair que ce n’était pas seulement une erreur des seigneurs de Trickbot. Intel 471 a découvert que cela s’était encore produit le 1er octobre, suggérant qu’une personne ayant accès au fonctionnement interne du botnet tentait de perturber ses opérations.
« Peu de temps après la suppression des fausses configurations, tous les contrôleurs Trickbot ont cessé de répondre correctement aux demandes des bots », a écrit Intel 471 dans une note à ses clients. « Cela signifie peut-être que l’infrastructure centrale du contrôleur Trickbot a été perturbée. La proximité des deux événements a suggéré une interruption intentionnelle des opérations du botnet Trickbot.
PDG d’Intel 471 Marquer l’arène dit que c’est quelqu’un qui devine à ce stade qui est responsable.
« De toute évidence, quelqu’un essaie d’attaquer Trickbot », a déclaré Arena. « Il peut s’agir d’un membre de la communauté de la recherche en sécurité, d’un gouvernement, d’un initié mécontent ou d’un groupe de cybercriminalité rival. Nous ne savons tout simplement pas à ce stade.”
Arena a déclaré qu’il n’est pas clair dans quelle mesure ces fausses mises à jour de fichiers de configuration seront réussies étant donné que les auteurs de Trickbot ont construit un système de récupération à sécurité intégrée dans leur logiciel malveillant. Plus précisément, Trickbot dispose d’un mécanisme de contrôle de sauvegarde : un nom de domaine enregistré sur EmerDNS, un système de noms de domaine décentralisé.
« Ce domaine devrait toujours être sous le contrôle des opérateurs Trickbot et pourrait potentiellement être utilisé pour récupérer des bots », a écrit Intel 471.
Mais quiconque se moque des fournisseurs de Trickbot semble avoir adopté une approche à plusieurs volets : à peu près au même moment où la deuxième mise à jour du fichier de configuration bidon a été poussée le 1er octobre, quelqu’un a bourré les réseaux de contrôle que les opérateurs de Trickbot utilisent pour suivre données sur les systèmes infectés avec des millions de nouveaux enregistrements.
Alex Holden est directeur de la technologie et fondateur de Garder la sécurité, une société de cyber-intelligence basée à Milwaukee qui aide à récupérer les données volées. Holden a déclaré fin septembre que Trickbot détenait des mots de passe et des données financières volés sur plus de 2,7 millions de PC Windows.
Au 1er octobre, a déclaré Holden, ce nombre était passé comme par magie à plus de sept millions.
« Quelqu’un inonde le système Trickbot de fausses données », a déclaré Holden. « Celui qui fait cela génère des enregistrements qui incluent des noms de machines indiquant qu’il s’agit de systèmes infectés dans un large éventail d’organisations, y compris le ministère de la Défense, la US Bank, JP Morgan Chase, PNC et Citigroup, pour n’en nommer que quelques-uns. »
Holden a déclaré que le flot de nouveaux enregistrements, apparemment faux, semble être une tentative de quelqu’un de diluer la base de données Trickbot et de confondre ou de contrecarrer les opérateurs Trickbot. Mais jusqu’à présent, a déclaré Holden, l’impact a été principalement d’ennuyer et d’aggraver les criminels en charge de Trickbot.
« Notre surveillance a trouvé au moins une déclaration de l’un des groupes de rançongiciels qui s’appuie sur Trickbot disant que cela les énerve, et ils vont doubler la rançon qu’ils demandent à une victime », a déclaré Holden. « Nous n’avons pas été en mesure de confirmer s’ils ont effectivement donné suite à cela, mais ces attaques interfèrent définitivement avec leurs activités. »
Arena d’Intel 471 a déclaré que cela pourrait faire partie d’une campagne en cours visant à démanteler ou à prendre le contrôle du botnet Trickbot. Un tel effort ne serait guère sans précédent. En 2014, par exemple, les forces de l’ordre américaines et internationales se sont associées à plusieurs sociétés de sécurité et chercheurs privés pour réquisitionner le Gameover Zeus Botnet, une souche de logiciels malveillants particulièrement agressive et sophistiquée qui avait asservi jusqu’à 1 million de PC Windows dans le monde.
Trickbot serait une cible attrayante pour un tel effort de prise de contrôle car il est largement considéré comme une plate-forme utilisée pour trouver des victimes potentielles de ransomware. Intel 471 décrit Trickbot comme « une plate-forme de logiciels malveillants en tant que service qui s’adresse à un nombre relativement restreint de cybercriminels de premier plan ».
L’un des principaux gangs de ransomwares en activité aujourd’hui – qui déploie des souches de ransomwares connues sous le nom de « Ryûk » et « Conti”, est connu pour être étroitement associé aux infections Trickbot. Les deux familles de rançongiciels ont été utilisées dans certains des incidents de logiciels malveillants les plus dommageables et les plus coûteux à ce jour.
le dernière victime de Ryuk est Services de santé universels (UHS), un hôpital et fournisseur de services de santé Fortune 500 qui exploite plus de 400 établissements aux États-Unis et au Royaume-Uni
Le dimanche 27 septembre, UHS a fermé ses systèmes informatiques dans des établissements de santé à travers les États-Unis dans le but d’arrêter la propagation du logiciel malveillant. La perturbation aurait amené les hôpitaux concernés à rediriger les ambulances et à déplacer les patients nécessitant une intervention chirurgicale vers d’autres hôpitaux à proximité.