Il y a une semaine, BreachTrace a annoncé que quelqu’un tentait de perturber le Botnet astucieux, une machine criminelle malveillante qui a infecté des millions d’ordinateurs et est souvent utilisée pour propager des rançongiciels. Un nouveau rapport vendredi indique que l’attaque coordonnée faisait partie d’une opération menée par l’armée américaine Cyber-commande.
Image : Shutterstock.
Le 2 octobre, BreachTrace a rapporté que deux fois au cours des dix jours précédents, une entité inconnue qui avait un accès interne au botnet Trickbot a envoyé à tous les systèmes infectés une commande leur disant de se déconnecter des serveurs Internet que les seigneurs Trickbot utilisaient pour contrôler les compromis. Microsoft Windows des ordinateurs.
En plus de cela, quelqu’un avait fourré des millions de faux enregistrements sur de nouvelles victimes dans la base de données Trickbot – apparemment pour confondre ou contrecarrer les opérateurs du botnet.
Dans un article publié le 9 octobre, Le Washington Post signalé que quatre responsables américains qui ont parlé sous couvert d’anonymat ont déclaré que la perturbation de Trickbot était l’œuvre de Cyber Command américainune branche du ministère de la Défense dirigée par le directeur de la Agence de Sécurité Nationale (NSA).
Le rapport du Post a suggéré que l’action était une tentative d’empêcher Trickbot d’être utilisé pour interférer d’une manière ou d’une autre avec la prochaine élection présidentielle, notant que Cyber Command a contribué à perturber l’accès à Internet des fermes de trolls en ligne russes lors des élections de mi-mandat de 2018.
Le Post a déclaré que les responsables américains ont reconnu que leur opération ne démantèlerait pas définitivement Trickbot, le décrivant plutôt comme « un moyen de les distraire pendant au moins un moment alors qu’ils cherchent à rétablir leurs opérations ».
Alex Holdendirecteur de la sécurité de l’information et président de Milwaukee Garder la sécurité, a surveillé l’activité de Trickbot avant et après l’opération de 10 jours. Holden a déclaré que si l’attaque contre Trickbot semble avoir coupé ses opérateurs d’un grand nombre d’ordinateurs victimes, les méchants ont toujours des mots de passe, des données financières et des tonnes d’autres informations sensibles volées sur plus de 2,7 millions de systèmes à travers le monde.
Holden a déclaré que les opérateurs de Trickbot ont commencé à reconstruire leur botnet et continuent de déployer des ransomwares sur de nouvelles cibles.
« Ils fonctionnent normalement et leurs opérations de ransomware sont à peu près de retour », a déclaré Holden. « Ils ne ralentissent pas car ils ont encore beaucoup de données volées. »
Holden a ajouté que depuis que la nouvelle de la perturbation a éclaté pour la première fois il y a une semaine, les cybercriminels russophones derrière Trickbot ont discuté de la manière de récupérer leurs pertes et ont joué avec l’idée d’augmenter massivement le montant d’argent exigé des futures victimes de ransomwares.
« Il y a une conversation qui se passe dans les canaux arrière », a déclaré Holden. « Normalement, ils demandent [a ransom amount] c’est quelque chose comme 10 pour cent des revenus annuels de l’entreprise victime. Maintenant, certains des gars impliqués parlent d’augmenter cela à 100 ou 150 %.