[ad_1]

Microsoft Corp. a exécuté une attaque sournoise légale coordonnée dans le but de perturber le botnet malware-as-a-service Trickbot, une menace mondiale qui a infecté des millions d’ordinateurs et est utilisée pour propager des rançongiciels. Un tribunal de Virginie a accordé à Microsoft le contrôle de nombreux serveurs Internet que Trickbot utilise pour piller les systèmes infectés, sur la base de nouvelles allégations selon lesquelles la machine criminelle aurait abusé des marques du géant du logiciel. Cependant, il semble que l’opération n’ait pas complètement désactivé le botnet.

Un spam contenant une pièce jointe infectée par Trickbot qui a été envoyé plus tôt cette année. Image : Microsoft.

« Nous avons perturbé Trickbot grâce à une ordonnance du tribunal que nous avons obtenue ainsi qu’à une action technique que nous avons exécutée en partenariat avec des fournisseurs de télécommunications du monde entier », a écrit Tom Burtvice-président de la sécurité et de la confiance des clients chez Microsoft, en un article de blog ce matin sur la manœuvre judiciaire. « Nous avons maintenant coupé l’infrastructure clé afin que ceux qui exploitent Trickbot ne soient plus en mesure de lancer de nouvelles infections ou d’activer des ransomwares déjà introduits dans les systèmes informatiques. »

L’action de Microsoft intervient quelques jours seulement après celle de l’armée américaine Cyber-commande a mené sa propre attaque qui a envoyé à tous les systèmes Trickbot infectés une commande leur disant de se déconnecter des serveurs Internet que les seigneurs Trickbot utilisaient pour les contrôler. L’opération d’environ 10 jours par Cyber ​​Command a également introduit des millions de faux enregistrements sur de nouvelles victimes dans la base de données Trickbot dans le but de confondre les opérateurs du botnet.

Dans des documents juridiques, Microsoft a fait valoir que Trickbot nuit irrémédiablement à l’entreprise « en portant atteinte à sa réputation, à ses marques et à la bonne volonté de ses clients. Les défendeurs modifient physiquement et corrompent les produits Microsoft tels que les produits Microsoft Windows. Une fois infecté, modifié et contrôlé par Trickbot, le système d’exploitation Windows cesse de fonctionner normalement et devient un outil permettant aux défendeurs de mener leur vol.

De la plainte civile déposée par Microsoft le 6 octobre auprès de la Tribunal de district des États-Unis pour le district oriental de Virginie:

« Cependant, ils portent toujours les marques Microsoft et Windows. Cela est évidemment destiné à induire en erreur les clients de Microsoft, et cela cause des dommages extrêmes aux marques et marques déposées de Microsoft.

« Les utilisateurs soumis aux effets négatifs de ces applications malveillantes croient à tort que Microsoft et Windows sont à l’origine des problèmes de leurs appareils informatiques. Il y a un grand risque que les utilisateurs attribuent ce problème à Microsoft et associent ces problèmes aux produits Windows de Microsoft, diluant et ternissant ainsi la valeur des marques et marques Microsoft et Windows.

Microsoft a déclaré qu’il tirerait parti des serveurs Trickbot saisis pour identifier et aider les utilisateurs de Windows touchés par le logiciel malveillant Trickbot à nettoyer le logiciel malveillant de leurs systèmes.

Trickbot a été utilisé pour voler les mots de passe de millions d’ordinateurs infectés et aurait détourné l’accès à plus de 250 millions de comptes de messagerie à partir desquels de nouvelles copies du logiciel malveillant sont envoyées aux contacts de la victime.

La fonctionnalité malware-as-a-service de Trickbot en a fait un véhicule fiable pour déployer diverses souches de ransomwares, verrouillant les systèmes infectés sur un réseau d’entreprise à moins que et jusqu’à ce que l’entreprise accepte de faire un paiement d’extorsion.

Une souche de ransomware particulièrement destructrice étroitement associée à Trickbot – connue sous le nom de « Ryuk » ou « Conti » – a été responsable d’attaques coûteuses contre d’innombrables organisations au cours de l’année écoulée, notamment des prestataires de soins de santé, des centres de recherche médicale et des hôpitaux.

Une récente victime de Ryuk est Universal Health Services (UHS), un fournisseur de services hospitaliers et de soins de santé du Fortune 500 qui exploite plus de 400 établissements aux États-Unis et au Royaume-Uni.

Le dimanche 27 septembre, UHS a fermé ses systèmes informatiques dans des établissements de santé à travers les États-Unis dans le but d’arrêter la propagation du logiciel malveillant. La perturbation a amené certains des hôpitaux touchés à rediriger les ambulances et à déplacer les patients nécessitant une intervention chirurgicale vers d’autres hôpitaux à proximité.

Microsoft a déclaré qu’il ne s’attendait pas à ce que son action perturbe définitivement Trickbot, notant que les escrocs derrière le botnet feront probablement des efforts pour relancer leurs opérations. Mais jusqu’à présent, il n’est pas clair si Microsoft a réussi à réquisitionner tous les serveurs de contrôle de Trickbot, ou quand exactement la saisie coordonnée de ces serveurs s’est produite.

Comme l’entreprise l’a noté dans ses documents juridiques, l’ensemble d’adresses Internet utilisées comme contrôleurs Trickbot est dynamique, ce qui rend les tentatives de désactivation du botnet plus difficiles.

En effet, selon les informations en temps réel postées par Traqueur Feodoun site de sécurité suisse qui suit les serveurs Internet utilisés comme contrôleurs pour Trickbot et d’autres botnets, près de deux douzaines de serveurs de contrôle Trickbot – dont certains ont été activés pour la première fois au début de ce mois – sont toujours en ligne et répondent aux demandes au moment de cette publication .

Trickbot contrôle les serveurs actuellement en ligne. Source : Feodotracker.abuse.ch

Cabinet de cyber intelligence Intel 471 dit que la suppression complète de Trickbot nécessiterait un niveau de collaboration sans précédent entre les parties et les pays qui ne coopéreraient probablement pas de toute façon. C’est en partie parce que le principal mécanisme de commande et de contrôle de Trickbot prend en charge la communication sur Le routeur oignon (TOR) — un service d’anonymat distribué entièrement distinct de l’Internet ordinaire.

« En conséquence, il est fort probable qu’un démantèlement de l’infrastructure Trickbot aurait peu d’impact à moyen et long terme sur le fonctionnement de Trickbot », a écrit Intel 471 dans une analyse de l’action de Microsoft.

De plus, Trickbot dispose d’une méthode de communication de secours qui utilise un système de noms de domaine décentralisé appelé EmerDNS, qui permet aux utilisateurs de créer et d’utiliser des domaines qui ne peuvent être modifiés, révoqués ou suspendus par aucune autorité. Le magasin de cybercriminalité très populaire Joker’s Stash – qui vend des millions de cartes de crédit volées – utilise également cette configuration.

Extrait du rapport Intel 471 [malicious links and IP address defanged with brackets]:

« Dans le cas où toute l’infrastructure de Trickbot serait supprimée, les cybercriminels derrière Trickbot devront reconstruire leurs serveurs et changer leur domaine EmerDNS pour pointer vers leurs nouveaux serveurs. Les systèmes compromis devraient alors pouvoir se connecter à la nouvelle infrastructure Trickbot. Safetrust du domaine de secours EmerDNS de Trickbot[.]bazar a récemment résolu l’adresse IP 195.123.237[.]156. Ce n’est pas un hasard si ce quartier réseau héberge également des serveurs de contrôle des logiciels malveillants Bazar.

« Les chercheurs attribuaient auparavant le développement de la famille de logiciels malveillants Bazar au même groupe derrière Trickbot, en raison de similitudes de code avec la famille de logiciels malveillants Anchor et de ses méthodes de fonctionnement, telles que l’infrastructure partagée entre Anchor et Bazar. Le 12 octobre 2020, le domaine de secours a été résolu avec l’adresse IP 23.92.93[.]233, qui a été confirmé par les systèmes Intel 471 Malware Intelligence comme étant une URL de contrôleur Trickbot en mai 2019. Cela suggère que le domaine de secours est toujours contrôlé par les opérateurs Trickbot au moment de ce rapport.

Intel 471 a conclu que l’action de Microsoft a jusqu’à présent peu contribué à perturber l’activité du botnet.

« Au moment de ce rapport, Intel 471 n’a pas vu d’impact significatif sur l’infrastructure de Trickbot et sa capacité à communiquer avec les systèmes infectés par Trickbot », a écrit la société.

Les dépôts légaux de Microsoft sont disponibles ici.

Mise à jour, 9 h 51 HE : Feodo Tracker répertorie désormais seulement six contrôleurs Trickbot comme répondant. Tous les six ont été vus pour la première fois en ligne au cours des dernières 48 heures. Ajout également de la perspective d’Intel 471.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *