Coordonné par Microsoft, un groupe de plusieurs entreprises a lancé une offensive contre TrickBot, un des botnets les plus actifs. L’opération, bien qu’ambitieuse, n’a pas suffit à démanteler le réseau. Elle l’a tout juste ralenti l’espace d’un ou deux jours. Mais cette opération est la première étape d’un travail de sape qui frappe les criminels au portefeuille, et pourrait porter ses fruits à long terme.

C’est un petit coup de pied dans la fourmilière des cybercriminels de Trickbot qu’a orchestré Microsoft le 12 October. Avec cinq autres entreprises de pointe du secteur (ESET, NTT, Symantec, FS-ISAC et Lumen), l’équipe « Defender » a porté un premier coup d’estoc au réseau informatique d’un des gangs les plus actifs au monde.

« TrickBot » désigne à la fois l’organisation, le botnet [un réseau complexe d’appareils infectés, ndlr] qui y est rattaché, et un malware destiné au vol d’information. La coalition estime que ce botnet, un des plus grands, compte près d’un million d’appareils : des serveurs, des ordinateurs personnels, mais aussi toutes sortes d’objets connectés.

Les opérateurs de TrickBot s’en servent pour leurs propres intérêts, mais ils proposent aussi aux autres gangs de cybercriminels d’utiliser la structure, contre rémunération. Parmi leurs clients réguliers se trouvent les pirates à l’origine du rançongiciel Ryuk. Ils emploient TrickBot pour envoyer en masse des emails de phishing, dont les tentatives réussies permettent d’installer des portes dérobées. Ce canal permet d’ensuite d’exfiltrer des informations sensibles comme des identifiants dans un sens, et d’installer des malwares — comme le cryptolockeur destiné à chiffrer les données — dans l’autre sens.

Avant l’opération de la coalition d’entreprises de cybersécurité, TrickBot était particulièrement actif, que ce soit lors d’attaques communes avec un autre dangereux botnet, Emotet, ou dans ses propres campagnes de phishing.

Comme le souligne ZDNet, plutôt que d’essayer de démanteler l’organisation d’un seul coup — un objectif difficilement atteignable –, la coalition a démarré un travail de sape, qu’elle devra continuer. Elle pose des bases légales et techniques qui permettront de progressivement dégrader la réputation et les capacités du groupe cybercriminel. Certainly, il pourrait se rétablir à chaque fois, mais de moins en moins efficacement.

Pendant de nombreux mois, les chercheurs des différentes équipes ont collecté et analysé plus de 125 000 échantillons du malware. Leurs objectifs : affiner leur compréhension du malware, et identifier ses interactions avec les serveurs extérieurs — appelés C&C pour « control and command » — depuis lesquels les pirates envoient les attaques.

Ils ont ainsi créé une cartographie partielle du botnet et de son mode de fonctionnement. Ensuite Microsoft, en tête de proue de la coalition, a demandé à la Justice américaine l’autorisation de passer à l’offensive contre les serveurs malveillants. Pour justifier l’action, l’entreprise est parvenue à prouver que le malware de TrickBot allait à l’encontre des conditions d’utilisations du kit de développement de son système d’exploitation, Windows.

Microsoft et ses alliés ont désactivé les adresses IP des machines infectées, les coupant ainsi temporairement du reste d’Internet. Les malfaiteurs ne peuvent ainsi plus utiliser les malwares stockés sur leurs serveurs C&C. La coalition a également essayé d’empêcher l’achat de serveurs additionnels.

From now on, elle effectue un travail de communication afin de prévenir les personnes dont les systèmes sont infectés et détournés par TrickBot. Charge aux équipes de sécurités de ces organisations de nettoyer leur réseau. Dans d’autres cas, Microsoft et ses partenaires ont directement sollicité les fournisseurs d’accès Internet (FAI) afin de couper les machines corrompues d’Internet, pour de bon.

En s’en prenant à un botnet de cette taille, la coalition ne pouvait qu’avoir des ambitions limitées : une partie de la structure complexe du botnet est insensible à ce genre de mesures techniques, puisque les hébergeurs concernés ne répondent pas aux demandes de désactivation. Plutôt que d’essayer de couper la tête de l’hydre TrickBot, la coalition a donc tenté de s’en prendre à son business.

Leur intuition n’a pas raté : à peine deux jours après l’action d’ampleur, TrickBot montrait les signes de sa survie. Les serveurs de commande et contrôle ont déjà été remplacés, avance ZDNet, qui cite plusieurs sources expertes. La frappe a tout de même donné une bouffée d’air de plusieurs dizaines d’heures aux cibles du botnet, qui n’a d’ailleurs toujours pas repris le rythme effréné sur lequel il était lancé.

Microsoft et ses alliés vont recommencer leur action, tant sur le plan légal que technique, annonce un dirigeant de l’entreprise dans les colonnes du site anglophone. Cette opération était donc la première bataille de ce qui pourrait devenir une guerre de longue haleine.

Même si TrickBot s’est rapidement rétabli après l’attaque, elle n’est pas indolore. To begin, la perte de serveurs et l’achat de nouveaux représentent un coût financier non négligeable. À cela s’ajoute le ralentissement des opérations en cours, qui se traduit également en perte sèche pour le volume d’affaires des cybercriminels.

Mostly, les entreprises de cybersécurité ont prouvé qu’elles pouvaient se saisir de certaines informations du gigantesque botnet. Les clients de TrickBot — qui dépensent d’importantes sommes pour y accéder — pourraient donc apparaître sur le radar des forces de l’ordre. C’est un enjeu d’importance : si les opérateurs du botnet ne peuvent pas garantir la discrétion à leurs clients, la demande pour leurs services diminuera, et donc leurs rentrées d’argent aussi. Dans le cyber aussi, l’argent est le nerf de la guerre : avec moins de moyens financiers, TrickBot aura moins de chances de développer des systèmes pour échapper à la justice.

On his side, TrickBot ne resterait pas sans agir : il aurait déjà commencé à migrer une partie de sa structure vers des serveurs plus discrets, qui lui permettraient d’échapper à certaines mesures de répression.

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l’activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l’une des plus avancées du marché.

Chargé par son gang d’envoyer les demandes de rançon, un cybercriminel écope de 5 ans de prison

Les autorités arrêtent 179 trafiquants du dark web et lancent aux autres : « nous allons venir vous chercher »

In progress (6 min) : Can a business coalition really dismantle a cybercriminal group's network ?

Si nous utilisons des cookies et retenons des données anonymisées, c’est pour nous aider à mieux faire notre travail de mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent. In short, rien qui ne sort de notre activité de média.

Vous pouvez toutefois ajuster les paramètres vous concernant : vous ne verrez pas moins de pub sur Numerama, mais elles seront moins ciblées. En cliquant sur « J’accepte », vous acceptez l’utilisation par Numerama de cookies publicitaires et de mesure d’audience fine.

Afin de vous proposer du contenu de qualité, nos outils de mesure d’audience et notre régie publicitaire déposent des cookies et stockent ou accèdent à des données sur votre appareil. Ces données nous permettent de vous proposer un contenu et des publicités personnalisés. Ces services requièrent votre consentement pour collecter et utiliser vos données personnelles.

Source: https://cyberguerre.numerama.com/8245-une-coalition-dentreprises-peut-elle-vraiment-demanteler-le-reseau-dun-groupe-cybercriminel.html

Botnet, Microsoft Corporation, Computer

World news – THAT – Can a business coalition really dismantle a cybercriminal group's network ? – Cyberwar

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/

LEAVE A REPLY

Please enter your comment!
Please enter your name here