La plate-forme modulaire de logiciels criminels Windows connue sous le nom de TrickBot a officiellement fermé son infrastructure jeudi après que des informations ont fait état de sa retraite imminente au milieu d’une accalmie de son activité pendant près de deux mois, marquant la fin de l’une des campagnes de logiciels malveillants les plus persistantes de ces dernières années.
« TrickBot est parti… Il est désormais officiel depuis le jeudi 24 février 2022. A bientôt… ou pas », a déclaré Vitali Kremez, PDG d’AdvIntel. tweeté. « TrickBot a disparu car il est devenu inefficace pour les intrusions ciblées. »
Attribué à une entreprise criminelle basée en Russie appelée Assistant AraignéeTrickBot a commencé comme un cheval de Troie financier fin 2016 et est un dérivé d’un autre malware bancaire appelé Dyré qui a été démantelé en novembre 2015. Au fil des ans, il s’est transformé en un véritable couteau suisse de capacités malveillantes, permettant aux acteurs de la menace de voler des informations via des injections Web et de déposer des charges utiles supplémentaires.
Les activités de TrickBot ont pris un coup notable en octobre 2020 lorsque le US Cyber Command et un consortium de sociétés de sécurité privées dirigé par Microsoft ont tenté de perturber la majeure partie de son infrastructure, forçant les auteurs du logiciel malveillant à intensifier et à faire évoluer ses tactiques.
L’entité criminelle aurait investi plus de 20 millions de dollars dans son infrastructure et sa croissance, a déclaré la société de sécurité Hold Security dans un communiqué. Rapport FILAIRE plus tôt ce mois-ci, appelant la « structure professionnelle » de TrickBot à gérer ses opérations quotidiennes et à « embaucher » de nouveaux ingénieurs dans le groupe.
Le développement intervient sous la forme de rapports jumeaux d’entreprises de cybersécurité AdvIntel et Intel 471 a fait allusion à la possibilité que la saga de cinq ans de TrickBot touche à sa fin à la suite d’une visibilité accrue sur leurs opérations de logiciels malveillants, incitant les opérateurs à passer à des logiciels malveillants plus récents et améliorés tels que BazarBackdoor (alias BazarLoader).
« Après tout, TrickBot est un malware relativement ancien qui n’a pas été mis à jour de manière majeure », ont déclaré les chercheurs d’Intel 471. « Les taux de détection sont élevés et le trafic réseau provenant de la communication des bots est facilement reconnu. »
En effet, Feodo Tracker du projet de recherche sur les logiciels malveillants Abuse.ch montre que même si aucun nouveau serveur de commande et de contrôle (C2) n’a été mis en place pour TrickBot attentats depuis le 16 décembre 2021, BazarLoader et émoticône battent leur plein, avec de nouveaux serveurs C2 enregistrés aussi récemment que les 19 et 24 février, respectivement.
BazarBackdoor, qui est apparu pour la première fois en 2021, est né dans le cadre de l’arsenal de boîtes à outils modulaires de Trickbot, mais est depuis devenu un malware entièrement autonome principalement utilisé par le gang de cybercriminels Conti (anciennement Ryuk) pour déployer des ransomwares sur les réseaux d’entreprise.
La disparition de TrickBot est également survenue lorsque les opérateurs du rançongiciel Conti ont recruté les meilleurs talents du premier pour se concentrer sur des logiciels malveillants de remplacement plus furtifs comme BazarBackdoor. « TrickBot est lié à Conti depuis un certain temps, donc une synergie supplémentaire est tout à fait possible », a déclaré Intel 471 à The Hacker News.
Conti a également été crédité d’avoir ressuscité et intégré le botnet Emotet dans son cadre d’attaque à plusieurs volets à partir de novembre 2021, avec TrickBot, ironiquement, utilisé comme véhicule de livraison pour distribuer le malware après un intervalle de 10 mois.
« Cependant, les personnes qui ont dirigé TrickBot tout au long de son parcours ne disparaîtront pas simplement », a noté AdvIntel la semaine dernière. « Après avoir été ‘rachetés’ par Conti, ils sont maintenant riches en prospects avec un terrain sûr sous eux, et Conti trouvera toujours un moyen d’utiliser les talents disponibles. »