Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Malgré les tentatives pour le détruire, le botnet TrickBot est déjà de retour

Le 12 octobre 2020, une coalition d'entreprises de cybersécurité menée par Microsoft frappait le réseau TrickBot, dans l'espoir, si ce n'est de le réduire à néant, d'au moins l'affaiblir considérablement. Plus de trois mois plus tard, Menlo Security vient d'identifier une campagne de phishing destinée à déployer le célèbre malware. Plusieurs détails techniques l'indiquent : TrickBot est de retour.

Le nom « TrickBot » était inévitable pendant l'année 2020 : il désigne un botnet -- un ensemble de milliers d'appareils infectés que les cybercriminels peuvent contrôler à leur guise --, un malware voleur d'identifiants, et l'organisation cybercriminelle qui contrôle le tout. Impliqué dans les campagnes de phishing lié au Covid, TrickBot est aussi devenu un des principaux partenaires des gangs qui opèrent les rançongiciels. Le malware servait d'éclaireur dans le réseau de l'entreprise, et ouvrait la porte au rançongiciel, avec des conséquences désastreuses pour la victime.

C'est cette implication dans la grande cybercriminalité qui a valu à TrickBot l'attention de Microsoft et ses partenaires. La coalition était parvenue à saisir 120 des 128 serveurs de commande du botnet grâce à une décision de justice inédite. Avec trop peu de têtes pour tous les diriger, une partie des milliers d'appareils infectés devenaient inutiles, et le botnet perdait en puissance. Mais dès le mois suivant, en amont de l'élection présidentielle américaine, le FBI s'inquiétait de résidus de son activité. Les cybercriminels avaient déjà réussi à remettre la main sur une partie de leur réseau, et l’exploitaient dans une cyberattaque contre des établissements de santé américains.

Un retour à petite échelle

La campagne de phishing détectée par Menlo Security marque un retour plutôt discret de TrickBot. La taille de sa cible est limitée : elle vise exclusivement des entreprises du secteur juridique et de l'assurance, situées en Amérique du Nord. L'email frauduleux contient un lien vers un site contrôlé par les malfrats, sur lequel ils tentent de faire télécharger un fichier JavaScript à leur victime.

Pour y parvenir, ils prétendent qu'il s'agit d'un document légal relatif à une infraction (fictive, en réalité), de leur cible. Si dans un vent de panique, la victime clique, les cybercriminels referment leur piège. Une fois sur l'ordinateur, ce fichier va appeler un serveur de commande pour télécharger TrickBot, et ce dernier sera capable d'extraire un large nombre d'identifiants. Les malfaiteurs pourront ensuite les utiliser pour de l’espionnage par exemple, ou les revendre à d’autres cybercriminels.

Les opérateurs de TrickBot semblent donc déterminés à poursuivre leur investissement dans leur malware, plutôt qu'à démarrer un nouveau projet. Mais ils devront continuer à se reconstruire avant d'atteindre leur grandeur passée, et donc passer entre les filets des autorités. Leur dernier coup d'éclat en date a mené au démantèlement d’un autre célèbre botnet, Emotet. Et cette fois, la police a déjà programmé le nettoyage des appareils infectés, ce qui rendrait une renaissance similaire à TrickBot encore plus compliquée.