Quand les téléphones et les réseaux informatiques sont tombés en panne dans les trois hôpitaux du Ridgeview Medical Center le 24 octobre 2020, le groupe médical a eu recours à une publication sur Facebook pour avertir ses patients de la perturbation. Un service d’incendie local géré par des bénévoles a déclaré que les ambulances étaient détournées vers d’autres hôpitaux; les responsables ont signalé que les patients et le personnel étaient en sécurité. Le temps d’arrêt dans les installations médicales du Minnesota n’était pas un problème technique; les rapports ont rapidement lié l’activité à l’un des gangs de rançongiciels les plus notoires de Russie.
À des milliers de kilomètres de là, à peine deux jours plus tard, des membres du groupe de cybercriminalité Trickbot se sont réjouis en privé des cibles faciles que font les hôpitaux et les prestataires de soins de santé. « Vous voyez, à quelle vitesse les hôpitaux et les centres répondent », s’est vanté Target, un membre clé du gang de logiciels malveillants lié à la Russie, dans des messages adressés à l’un de leurs collègues. L’échange est inclus dans des documents non signalés auparavant, vus par WIRED, qui consistent en des centaines de messages envoyés entre les membres de Trickbot et détaillent le fonctionnement interne du groupe de piratage notoire. « Réponses des autres, [take] jours. Et de la crête, la réponse a immédiatement volé », a écrit Target.
Au fur et à mesure que Target tapait, les membres de Trickbot étaient en train de lancer une énorme vague d’attaques de ransomwares contre des hôpitaux à travers les États-Unis. Leur objectif : obliger les hôpitaux occupés à répondre à la flambée de la pandémie de Covid-19 à payer rapidement des rançons. La série d’attaques a suscité des avertissements urgents de la part des agences fédérales, notamment la Cybersecurity and Infrastructure Security Agency et le Federal Bureau of Investigation. « Fuck cliniques aux États-Unis cette semaine », a déclaré Target alors qu’ils donnaient l’instruction de commencer à cibler une liste de 428 hôpitaux. « Il va y avoir une panique.
Les documents vus par WIRED incluent des messages entre des membres seniors de Trickbot, datés de l’été et de l’automne 2020, et exposent comment le groupe prévoyait d’étendre ses opérations de piratage. Ils dévoilent les pseudonymes des membres clés et montrent l’attitude impitoyable des membres du gang criminel.
Les messages ont été envoyés dans les mois qui ont précédé et peu de temps après que le Cyber Command américain a perturbé une grande partie de l’infrastructure de Trickbot et a temporairement arrêté le travail du groupe. Depuis lors, le groupe a intensifié ses opérations et fait évoluer ses logiciels malveillants, et il continue de cibler des entreprises du monde entier. Alors que le Service fédéral de sécurité russe a récemment arrêté des membres du gang de rançongiciels REvil, à la suite d’efforts diplomatiques entre les présidents Joe Biden et Vladimir Poutine, le cercle restreint de Trickbot est jusqu’à présent relativement épargné.
Le groupe Trickbot a évolué à partir du cheval de Troie bancaire Dyre vers la fin de 2015, lorsque les membres de Dyre ont été arrêtés. Le gang a développé son cheval de Troie bancaire d’origine pour devenir une boîte à outils de piratage polyvalente; des modules individuels, qui fonctionnent comme des plugins, permettent à ses opérateurs de déployer les rançongiciels Ryuk et Conti, tandis que d’autres fonctions permettent l’enregistrement des frappes et la collecte de données. « Je ne connais aucune autre famille de logiciels malveillants qui ait autant de modules ou de fonctionnalités étendues », déclare Vlad Pasca, analyste principal des logiciels malveillants chez Lifars, qui a décompilé le code de Trickbot. Cette sophistication a aidé le gang, également connu sous le nom de Wizard Spider, à collecter des millions de dollars auprès des victimes.
Une équipe de base d’environ une demi-douzaine de criminels est au cœur des opérations de Trickbot, selon les documents examinés par WIRED et les experts en sécurité qui suivent le groupe. Chaque membre a ses propres spécialités, comme la gestion d’équipes de codeurs ou la direction de déploiements de ransomwares. A la tête de l’organisation se trouve Stern. (Comme tous les surnoms utilisés dans cette histoire, le ou les noms réels derrière les poignées sont inconnus. Ce sont cependant les identités que le groupe utilise lorsqu’il se parle.)
« Il est le patron de Trickbot », explique Alex Holden, PDG de la société de cybersécurité Hold Security et qui connaît le fonctionnement du gang. Stern agit comme un PDG du groupe Trickbot et communique avec d’autres membres qui sont à un niveau similaire. Ils peuvent également signaler à d’autres personnes inconnues, dit Holden. « Stern n’entre pas autant dans le côté technique », dit-il. « Il veut des rapports. Il veut plus de communication. Il veut prendre des décisions de haut niveau.