Crédit : Dreamstime
TrickBot, autrefois l’un des botnets les plus actifs sur Internet et le principal vecteur de diffusion des ransomwares, ne fait plus de nouvelles victimes. Cependant, il y a des signes que ses opérateurs transfèrent les ordinateurs déjà infectés vers d’autres botnets, y compris Emotet.
« Notre équipe évalue avec une grande confiance que les opérateurs de Trickbot travaillent en étroite collaboration avec les opérateurs d’Emotet », ont déclaré des chercheurs de la société de sécurité Intel 471 dans un nouveau rapport. « Il existe des preuves claires de cette relation, par exemple, la résurrection d’Emotet a commencé avec Trickbot. »
TrickBot et Emotet sont amis depuis longtemps
TrickBot et Emotet sont deux programmes de chevaux de Troie qui ont commencé comme des outils malveillants axés sur le vol d’informations d’identification bancaires en ligne, mais ont évolué pour devenir des plates-formes de distribution de logiciels malveillants où ils louaient leur accès aux systèmes à d’autres cybercriminels. gangs.
Les chercheurs en sécurité soupçonnent depuis longtemps que le groupe à l’origine de TrickBot était l’un des plus gros clients d’Emotet et que les deux botnets se distribuaient régulièrement sur des ordinateurs infectés. De plus, TrickBot a été l’un des principaux vecteurs d’infection pour le rançongiciel Ryuk.
En octobre 2020, TrickBot a été la cible d’une action coordonnée de Microsoft et d’autres partenaires industriels et FAI, qui a entraîné la perturbation de tous ses serveurs de commande et de contrôle. Cependant, ses créateurs a lancé de nouvelles campagnes de spam pour reprendre le contrôle des ordinateurs infectés et a lentement commencé à reconstruire le botnet.
Cela a été suivi en janvier 2021 par un démantèlement de l’infrastructure de commande et de contrôle d’Emotet par les forces de l’ordre en Europe. Cependant, comme TrickBot, Emotet a également commencé à se rétablir, et une grande raison à cela était TrickBot lui-même.
« Le 14 novembre 2021, nous avons observé Trickbot pousser une commande à ses bots pour télécharger et exécuter des échantillons d’Emotet », ont déclaré les chercheurs d’Intel 471. « Cela a marqué le début du retour d’Emotet. »
Aucune nouvelle campagne TrickBot
Les chercheurs peuvent facilement surveiller les nouveaux échantillons de TrickBot car ils contiennent des codes d’identification uniques appelés gtags que les opérateurs utilisent pour déterminer le succès de chaque campagne de distribution. Ces gtags sont formés de trois lettres et de trois chiffres, appelés sous-tags.
Selon Intel 471, en novembre, il y avait huit versions différentes de TrickBot avec lipXXX gtag et huit avec topXXX. Les dernières versions avec ces gtags sont arrivées entre la mi-décembre et il n’y a pas eu de nouvelles versions depuis lors ni de nouveaux gtags. De plus, le fichier de configuration du logiciel malveillant mcconf qui contient une liste de serveurs de commande et de contrôle n’a pas été mis à jour depuis début décembre, même s’il recevait des mises à jour régulières.
Cette baisse significative des nouvelles campagnes de distribution suggère que les opérateurs TrickBot ne sont pas intéressés à infecter de nouveaux systèmes. Les ordinateurs existants qui composent le botnet reçoivent toujours des commandes et des scripts d’injection des serveurs de contrôle, mais cela peut être dû en partie à l’automatisation.
Que s’est-il passé avec TrickBot ?
En octobre, le DOJ a annoncé l’extradition d’un ressortissant russe après son arrestation en Corée du Sud pour faire face à des accusations liées au développement de TrickBot, mais il n’est pas clair si cela a directement conduit à la diminution de TrickBot compte tenu du fait que ses opérateurs ont lancé de nouvelles versions et campagnes en novembre et décembre.
Les chercheurs d’Intel 471 pensent qu’il est plus probable que les opérateurs TrickBot aient commencé la transition vers d’autres chevaux de Troie pour poursuivre leurs opérations.
« Intel 471 ne peut pas confirmer, mais il est probable que les opérateurs de Trickbot aient éliminé progressivement les logiciels malveillants Trickbot de leurs opérations au profit d’autres plates-formes, telles qu’Emotet », ont-ils déclaré. » Trickbot, après tout, est un logiciel malveillant relativement ancien qui n’a pas été mis à jour de manière majeure. Les taux de détection sont élevés et le trafic réseau provenant de la communication des bots est facilement reconnu. »
En juillet 2020, des chercheurs de Cybereason ont rapporté que le groupe TrickBot avait développé un programme de chargement et de porte dérobée appelé Bazar qui partage certaines techniques et infrastructures avec TrickBot mais est plus furtif et utilise blockchain domaines DNS, ce qui le rend plus résistant aux tentatives de retrait.
Le chargeur Bazar a depuis été utilisé par plusieurs groupes de cybercriminels contre des cibles de grande valeur pour déployer des cadres d’attaque comme CobaltStrike et IcedID ou Bokbot dans les environnements réseau. Les serveurs de commande et de contrôle Bazar ont également été vus distribuant à la fois TrickBot et Emotet l’année dernière, renforçant l’idée que les trois sont connectés.
« Peut-être qu’une combinaison d’attention indésirable portée à Trickbot et de la disponibilité de plates-formes de logiciels malveillants plus récentes et améliorées a convaincu les opérateurs de Trickbot de l’abandonner », ont déclaré les chercheurs. « Nous soupçonnons que l’infrastructure de contrôle des logiciels malveillants (C2) est maintenue car il existe encore une certaine valeur de monétisation dans les bots restants. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
