Microsoft explique avoir pris part aux efforts visant à paralyser le botnet Trickbot. L'éditeur de Redmond a travaillé conjointement avec FS-ISAC, ESET, Lumen Black Lotus Labs, NTT et Symantec.
On estime que le botnet Trickbot a infecté plus d'un million d'ordinateurs pour y déployer des ransomware. Mais d'autres appareils sont également ciblés par les opérateurs. Au regard de l'ampleur des dégâts potentiels, Microsoft et ses partenaires se sont attelés au problème.
La menace Trickbot
À quelques jours des élections présidentielles aux États-Unis, le botnet Trickbot est une menace. Il faut dire qu'en cette période de pandémie, beaucoup procéderont au vote électronique. Pour cette raison, le gouvernement a lancé un programme visant à mieux protéger les bases de données recueillant les voix des citoyens américains.
Reuters rapporte qu'en 2016, les bureaux de votes avaient été hackés par des pirates russes souhaitant récolter diverses informations. Cette fois, l'agence gouvernementale chargée de la sécurité des infrastructures (CISA) craint le déploiement de ransomware pouvant paralyser les machines centralisant les votes, voire en divulguer les résultats en avance.
Après avoir passé en revue 61 000 malware déployés par Trickbot, Microsoft explique que le botnet infecte non seulement les ordinateurs mais également les routeurs ainsi que les objets connectés. Les opérateurs du botnet proposent à leurs clients un modèle de "malware-as-a-service" permettant de choisir, en fonction de l'appareil, le type de virus devant être injecté.
Microsoft resserre l'étau
Si Microsoft ne sait pas encore qui se cache derrière les opérateurs du botnet, la société affirme que Trickbot profite à la fois à des organisations criminelles mais également à des gouvernements.
Au cours de son enquête, l'éditeur de Redmond a pu repérer plusieurs éléments, et notamment l'infrastructure utilisée par Trickbot pour contrôler les machines des victimes à distance. Les chercheurs savent également de quelle manière les appareils infectés communiquent entre eux ainsi que les mécanismes par lesquels le botnet arrive à ne pas se faire détecter.
Avec ses informations en main, Microsoft et ses partenaires ont pu obtenir une injonction leur permettant de désactiver les adresses IP des serveurs de contrôle à distance du botnet Trickbot et de rendre le contenu inaccessible. En outre, les opérateurs de Trickbot ne peuvent plus acheter ni louer de serveurs additionnels.
Cette équipe de chercheurs, baptisée Digital Crime Unit, a également entrepris des actions en justice après avoir repéré un détournement du code source de leurs applications. Cette plainte a été soutenue par le centre d'analyse des services financiers des États-Unis. En effet, lorsqu'il infecte une banque, Trickbot est capable de récupérer les informations de connexion des utilisateurs pour les revendre par la suite.
Source : Microsoft