Les rançongiciels Trickbot et Ryuk frappés: Microsoft et plusieurs sociétés de cybersécurité désactivent l’un des plus grands botnets au monde

Grande victoire sur l’un des botnets les plus dangereux au monde. Trickbot a infecté plus d’un million d’appareils depuis fin 2016 et est considéré par les États-Unis comme l’une des plus grandes menaces pour ses attaques de ransomwares et son éventuelle interférence dans les prochaines élections. Bien que les responsables soient inconnus, on pense que Trickbot est utilisé par plusieurs États et organisations criminelles.

Microsoft et les entreprises de cybersécurité ESET, NTT et Black Lotus Labs Ils se sont associés pour essayer d’arrêter et de bloquer les attaques de Trickbot. Une offensive pour réduire, même temporairement, les attaques de ransomwares comme Emotet ou Ryuk, très populaires ces dernières années et qui étaient à l’origine des attaques contre la ville de Jerez, Prosegur ou Cadena Ser. Ce ne sont là que quelques-uns des cas qui ont été révélés.

Qu’est-ce que Trickbot et ce qui s’est passé

Microsoft a exécuté une attaque légale pour perturber le botnet. UNE Le tribunal de Virginie a autorisé Microsoft à prendre le contrôle de plusieurs serveurs que Trickbot utilisait pour infecter d’autres systèmes. Comme la société l’a soutenu, Trickbot a causé des dommages irréparables à la marque Microsoft, corrompant ses produits et altérant le fonctionnement de Windows.

Comme décrit par ESET, après avoir analysé 125 000 échantillons malveillants En 2020, Trickbot a distribué des logiciels malveillants de différentes manières, parfois tirer parti des systèmes précédemment compromis par d’autres botnets tels que Emotet. Grâce à cette recherche, menée en collaboration avec Microsoft, Symantec et d’autres sociétés de cybersécurité, le groupe a pu cartographier le fonctionnement de Trickbot et les serveurs utilisés.

Trickbot est devenu un moyen d’implémenter divers ransomwares dans les réseaux d’entreprise pour demander plus tard une rançon en échange de ne pas publier les informations obtenues. Parmi les ransomwares Trickbot les plus connus, on trouve «Ryuk», utilisé pour attaquer de nombreuses organisations, y compris des hôpitaux.

Mettre fin à ces attaques ne sera pas si facile

Pays où le botnet Trickbot a été détecté entre octobre 2019 et octobre 2020. Source: ESET

La portée de Trickbot couvre le monde entier et peu de pays sont laissés de côté. L’opération importante contre ce botnet a désactivé son centre de commande, mais il ne semble pas qu’il sera définitif.

Selon ESET, l’activité du botnet a diminué depuis octobre, mais elle peut ne pas être strictement liée à l’opération. Selon leurs données, l’activité réseau la plus élevée s’est produite pendant les mois de janvier et février, en mars, elle s’est apparemment complètement arrêtée, mais plus tard, ils ont continué à attaquer les systèmes.

De Microsoft, il a été réalisé que le botnet ne peut pas obtenir de nouveaux serveurs mais, selon des experts tels que Brian Krebs, cette action « voué à l’échec de manière prévisible« par la nature même du botnet.

Ajout d’une perspective indispensable d’Intel 471 sur les raisons pour lesquelles toute tentative de suppression de Trickbot est susceptible d’échouer. tl; dr: Leur méthode de communication de sauvegarde repose sur ToR et EmerDNS, qui permet l’utilisation de domaines qui ne peuvent être supprimés par aucune autorité https://t.co/rflBgfVj0N pic.twitter.com/Pd4fZccvRf

– briankrebs (@briankrebs) 12 octobre 2020

À Xataka | Qu’est-ce que Ransomware et comment pouvez-vous vous en protéger