Agence web » Actualités du digital » Le botnet Trickbot est mort – ou est-ce? –

Le botnet Trickbot est mort – ou est-ce? –

Shutterstock / WhataWin

À l’approche des élections américaines de 2020, Microsoft a lancé une offensive contre un botnet prolifique appelé Trickbot. Ont-ils réussi à tuer la menace? Nous expliquons comment cela s’est passé.

Bots et botnets

Un bot est un ordinateur qui a été compromis et infecté par des logiciels malveillants. Le logiciel malveillant effectue certaines actions au profit de l’acteur de la menace. Un botnet est un réseau de bots qui fonctionnent à l’unisson. Plus il y a de bots dans le botnet, plus il a de puissance de calcul. Il forme une puissante plate-forme informatique distribuée travaillant pour le compte des acteurs de la menace.

Les botnets peuvent être utilisés pour des tâches telles que l’extraction de crypto-monnaies, l’exécution d’attaques de déni de service distribuées, agissant comme des fermes de spam, pour collecter les informations d’identification des utilisateurs à grande échelle ou pour collecter secrètement des informations sur des individus, des réseaux et des organisations.

L’armée de bots composant le réseau de robots est contrôlée à partir d’un serveur de commande et de contrôle souvent appelé serveur C2. Le serveur C2 accepte les informations des bots et répond en leur envoyant des commandes à suivre. Le serveur C2 peut également distribuer de nouvelles charges utiles malveillantes ou des plug-ins qui fournissent de nouvelles fonctionnalités pour le malware.

Trickbot

Trickbot pourrait prétendre au titre du botnet le plus infâme du monde. Il a commencé sa vie comme un cheval de Troie bancaire en 2016, volant les informations de connexion aux comptes bancaires et autres plateformes de paiement. Depuis lors, il a fait l’objet d’un développement continu et est devenu un outil sophistiqué de diffusion de logiciels malveillants qui est loué à d’autres cybercriminels et groupes d’acteurs de menaces.

Il a infecté plus d’un million d’appareils informatiques depuis 2016, ce qui en fait un énorme botnet et un produit puissant pour les cybercriminels. Il représente une menace majeure pour les entreprises car il a été utilisé comme plate-forme de distribution de ransomwares tels que Ryuk et d’autres opérations de ransomwares de grande envergure à grande échelle.

Les infections proviennent généralement d’un employé tombé sous le coup d’un e-mail frauduleux qui lui a été envoyé dans le cadre d’une campagne d’hameçonnage par e-mail. L’e-mail contient une pièce jointe malveillante. Lorsque l’utilisateur essaie d’ouvrir la pièce jointe – se faisant souvent passer pour un fichier PDF ou Word – il télécharge et installe Trickbot.

En fait, Trickbot est un si grand réseau de machines compromises qu’un seul serveur C2 est insuffisant. En raison du nombre de bots et de la quantité de trafic, et en partie parce qu’ils voulaient créer une certaine redondance dans leur infrastructure, le groupe Trickbot utilisait 69 serveurs C2 stupéfiants dans le monde entier.

Alors, que se passerait-il si les acteurs de la menace Trickbot perdaient l’accès à tous leurs serveurs C2?

L’offensive de Microsoft contre Trickbot

En octobre 2020, Microsoft et certains partenaires et sociétés d’hébergement ont commencé à travailler ensemble pour identifier et éliminer les serveurs C2 de Trickbot.

L’analyse initiale de Microsoft a identifié 69 serveurs C2 principaux qui étaient essentiels aux opérations de Trickbot. Ils ont immédiatement désactivé 62 d’entre eux. Les sept autres n’étaient pas des serveurs Trickbot dédiés, mais des appareils infectés de l’Internet des objets (IoT) appartenant à des victimes innocentes.

Les appareils IoT avaient été détournés par Trickbot. Empêcher ces appareils de se comporter comme des serveurs C2 nécessitait un peu plus de finesse que ce qui a été utilisé pour empêcher les autres serveurs C2 d’avoir une base d’hébergement. Ils ont dû être désinfectés et retournés à leurs fonctions normales au lieu d’être simplement arrêtés en tremblant.

Comme vous vous en doutez, le gang Trickbot s’est efforcé d’obtenir des serveurs de remplacement lancés et opérationnels. Ils ont créé 59 nouveaux serveurs. Ceux-ci ont été rapidement ciblés par Microsoft et ses alliés et tous sauf un – au 18 octobre 2020 – ont été désactivés. En incluant les 69 serveurs d’origine, 120 des 128 serveurs Trickbot ont été désactivés.

Comment ils l’ont fait

En octobre 2020, Microsoft a obtenu une ordonnance du tribunal américain lui permettant, ainsi qu’à ses partenaires, de désactiver les adresses IP utilisées par les serveurs TrickBot C2. Ils ont rendu les serveurs eux-mêmes et leur contenu inaccessibles aux opérateurs de Trickbot. Microsoft a travaillé dans le monde entier avec des fournisseurs de télécommunications et des partenaires de l’industrie, notamment le centre d’analyse et de partage d’informations des services financiers (FS-ISAC), ESET, Lumen, NTT et Symantec.

Tom Burt de Microsoft (vice-président d’entreprise, sécurité et confiance des clients) dit que Microsft peut identifier un nouveau serveur Trickbot, déterminer qui est le fournisseur d’hébergement, redresser les exigences légales pour qu’il arrête le serveur, puis désactiver le serveur dans moins de trois heures. Pour les instances situées dans des territoires où ils ont déjà fermé un serveur C2, certains de ces éléments peuvent être accélérés car les légalités sont déjà en place ou le processus est maintenant bien compris. Leur record de suppression d’un nouveau serveur C2 est inférieur à six minutes.

L’équipe Microsoft continue de travailler avec les fournisseurs d’accès Internet (FAI) et les équipes nationales d’intervention en cas d’urgence informatique (CERT) pour aider les organisations à nettoyer les ordinateurs infectés.

Alors, Trickbot est-il mort?

Il est trop tôt pour appeler. L’infrastructure derrière le malware est certainement en mauvais état. Mais Trickbot s’est réinventé plusieurs fois dans le passé. Cela aurait peut-être déjà été fait. Les chercheurs en sécurité ont détecté un nouveau type de porte dérobée et de téléchargeur de logiciels malveillants qui présente des similitudes au niveau du code avec le logiciel malveillant Trickbot. L’attribution du nouveau malware – baptisé Bazar ou BazarLoader – mène directement à la porte du gang des Trickbot. Il semble probable qu’ils travaillaient déjà sur un outil d’attaque de nouvelle génération avant le début de l’offensive Microsoft.

BazarLoader utilise des campagnes d’hameçonnage par e-mail pour déclencher des infections mais, contrairement aux e-mails d’hameçonnage Trickbot, ils ne contiennent pas de pièce jointe. Au lieu de cela, ils ont des liens censés télécharger ou ouvrir des documents dans Google Docs. Bien sûr, les liens mènent la victime vers des sites Web frauduleux et similaires. Le contenu des e-mails de phishing était de fausses informations liées à des sujets aussi variés que la paie des employés et le COVID-19.

Bazar est conçu pour être encore plus furtif que Trickbot, en utilisant le cryptage blockchain pour masquer les URL de domaine de serveur C2 et les domaines DNS (Domain Name System). Cette nouvelle variante a déjà été vue en train de distribuer le ransomware Ryuk, qui a toujours été un client bien connu de Trickbot. Peut-être que le groupe Trickbot a déjà transféré un ou plusieurs de ses clients vers leur nouveau produit?

Les choses vont obtenir Bazar

Étant donné que Trickbot a évolué de ses racines de cheval de Troie pour devenir une plate-forme extensible de cybercriminalité pour la location, l’ajout de nouvelles fonctionnalités à Trickbot peut être réalisé relativement facilement. Les acteurs de la menace écrivent un nouveau plug-in et le téléchargent des serveurs C2 vers les machines botnet. Un nouveau plug-in a été détecté en décembre 2020. Il y a au moins un peu de vie dans l’ancien malware s’il obtient toujours de nouvelles fonctionnalités.

Le nouveau plug-in permet à Trickbot d’effectuer une attaque de bootkit UEFI (Unified Extensible Firmware Interface). L’attaque UEFI rend Trickbot beaucoup plus difficile à supprimer des machines infectées, même en survivant à des remplacements complets de disque dur. Il permet également aux acteurs de la menace de brique un ordinateur en brouillant son firmware.

Donc, Trickbot est peut-être en train de disparaître, mais le groupe derrière Trickbot est prêt à déployer sa nouvelle plate-forme de logiciels malveillants, Bazar. Microsoft et leurs alliés ont certainement blessé Trickbot. Avec Trickbot rendu presque inopérant, les clients du groupe Trickbot auront exercé des pressions sur eux pour qu’ils fournissent des services illégaux pour lesquels ils avaient payé.

Et lorsque vos clients incluent des personnalités telles que Lazarus, le groupe de menaces persistantes avancé (APT) avancé de Corée du Nord, Lazarus, vous aurez besoin de bonnes réponses à des questions difficiles sur votre contrat de niveau de service et votre service client. C’est peut-être ce qui a conduit le groupe Trickbot à sous-traiter temporairement certains de ses services à un autre groupe cybercriminel, pour essayer de maintenir une sorte de capacité opérationnelle.

Ne rejoignez pas l’armée du botnet

Indépendamment de la sophistication de Trickbot et Bazar, ils ne sont efficaces que s’ils sont capables d’infecter des ordinateurs pour grossir les rangs de leur armée de botnet. La clé pour éviter la conscription est de pouvoir repérer les e-mails de phishing et de les supprimer au lieu de tomber pour eux.

La formation de sensibilisation du personnel à la cybersécurité est essentielle ici. Ils reçoivent des e-mails toute la journée tous les jours. Ils doivent penser défensivement tout le temps. Ces points aideront à identifier les e-mails de phishing.

  • Méfiez-vous des choses qui sortent de l’ordinaire. Avez-vous déjà reçu un e-mail du service de la paie contenant des liens vers Google Docs? Probablement pas. Cela devrait éveiller vos soupçons tout de suite.
  • L’e-mail vous a-t-il été envoyé ou êtes-vous l’un des nombreux destinataires? Est-il logique que ce type de courrier électronique s’adresse à un public plus large?
  • Le texte d’un lien hypertexte peut être fait pour dire n’importe quoi, ce n’est pas une garantie que le lien vous y mènera réellement. Placez le pointeur de votre souris sur les liens du corps de l’e-mail. Dans une application de messagerie électronique, une info-bulle apparaîtra avec la destination réelle du lien. Si vous utilisez un client de messagerie Web, la destination du lien décodé sera affichée quelque part, généralement dans le coin inférieur gauche de la fenêtre du navigateur. Si la destination du lien semble suspecte, ne cliquez pas dessus.
  • La grammaire de l’e-mail est-elle correcte? L’e-mail a-t-il le bon ton et utilise-t-il le tour de phrase auquel vous vous attendez dans ce type de communication? Les fautes d’orthographe et la mauvaise grammaire doivent être considérées comme des signes avant-coureurs.
  • Les logos, pieds de page et autres éléments de la livrée d’entreprise semblent-ils authentiques? Ou ressemblent-ils à des copies de mauvaise qualité qui ont été récupérées ailleurs?
  • Non authentique l’organisation demandera jamais des mots de passe, des détails de compte et d’autres informations sensibles.

Comme toujours, mieux vaut prévenir que guérir.

★★★★★