Trickbot est-il enfin mort ? Comme mort-mort ?
Cette semaine, un certain nombre d’analystes en cybersécurité ont noté que le célèbre les serveurs du botnet avaient été fermer et beaucoup de gens semblent penser que cela pourrait être pour de bon. Les spéculations sur la disparition du botnet sont dues en partie à un « grand changement » perçu de la part de ses opérateurs, la société de cybersécurité Intel471 a écrit cette semaine. Ce changement semble inclure un pivot vers d’autres criminels opérations. Comme à temps partiel malware-as-a-service colporteurs, les pirates derrière Trickbot se concentrent sur la vente d’accès à des outils de cybercriminalité de haute qualité. En tant que tels, ils semblent maintenant se concentrer sur de nouveaux projets commerciaux, y compris le puissant cheval de Troie émoticôneet BazarLoaderune porte dérobée généralement used pour aider à l’exécution de cyberattaques.
Pour référence, botnets sont essentiellement de grands réseaux d’appareils «zombies» – des ordinateurs qui ont été infectés par des types particuliers de logiciels malveillants qui leur permettent d’être contrôlés collectivement par des cybercriminels. Les ressources des appareils infectés sont détournées et utilisées pour lancer des attaques de rançongiciels, mener des campagnes de cryptojacking et de spam, et de nombreuses autres mauvaises choses.
Depuis ses émergence Fin 2016, Trickbot était l’un des botnets les plus connus et les plus destructeurs du Web. Ayant infecté plus d’un million d’appareils, ses logiciels malveillants ont été exploités par des groupes de cybercriminels pour se vanter vol financier attaques partout dans le monde. On pense que Trickbot est principalement exploité par un groupe appelé « Assistant Araignée», une équipe de piratage prolifique basée à Saint-Pétersbourg, en Russie. En effet, on pense que Spider fait partie d’un « cyber-cartel » plus large, dont les goûts seraient reçoit un soutien du gouvernement russe.
Jusqu’à récemment, Trickbot était l’une des entreprises de cybercriminalité les plus actives et les plus destructrices de Wizard Spider. Mais, en octobre 2020, l’infrastructure supportant Trickbot a été blessée par une série de Actions prises par le Cyber Command américain du Pentagone, ainsi que Microsoft. Les opérations impliquaient des pirates de l’USG ciblant les serveurs de commande et de contrôle de Trickbot tandis que Microsoft utilisait une ordonnance du tribunal pour bloquer les adresses IP des appareils impliqués dans le fonctionnement du botnet. À l’époque, les responsables américains craignaient que Trickbot ne soit potentiellement utilisé par le gouvernement russe pour perturber l’élection présidentielle américaine.
Une récente rapport d’Intel471 montre que Trickbot a montré de moins en moins d’activité depuis l’intervention de 2020 – avec ses campagnes de piratage ralentissant à peu près au point mort à la fin de l’année dernière :
Alors même que l’US Cyber Command et Microsoft ont saisi des serveurs et que le ministère américain de la Justice a arrêté plusieurs personnes soupçonnées d’être impliquées dans le groupe qui gère le malware, Trickbot est resté actif tout au long de 2021 avec diverses campagnes d’infection. Ces périodes d’activité sporadiques ne se sont pas poursuivies en 2022. Du 28 décembre 2021 au 17 février 2022, les chercheurs d’Intel 471 n’ont pas vu de nouvelles campagnes Trickbot. Bien qu’il y ait eu des accalmies de temps en temps, cette longue pause peut être considérée comme inhabituelle.
Il convient de noter, cependant, que si les commentateurs peuvent sembler écrire les nécrologies de Trickbot, les botnets ont l’habitude de ressusciter. Comme les vampires numériques, ils n’ont besoin que de quelqu’un pour rallumer la lumière et, voilà, ils sont de retour en action, prêts à semer la pagaille comme si personne ne les regardait.