Getty Images/iStockphoto
Comment Trickbot a su renaître
À l’automne 2020, Microsoft avait indiqué que plus de 90 % de l’infrastructure de Trickbot était tombée. Mais ses opérateurs ont su rebondir et semblent même avoir commencé à préparer une succession.
Plus de 140 000 machines ont été compromises avec Trickbot depuis novembre 2020, selon un récent rapport de Check Point. Celui-ci se concentre sur l’activité de Trickbot et de ses opérateurs après que Microsoft ait assuré que plus de 90 % de son infrastructure avait été désactivée. De quoi montrer l’ampleur du rebond.
Selon Check Point, plus de 140 000 machines ont ainsi été infectées par Trickbot au cours des 16 derniers mois, représentant les clients de soixante entreprises. Parmi les sociétés dont les clients ont été touchés figurent notamment Amazon, Microsoft, PayPal, Bank of America, Wells Fargo et American Express.
Selon Alexander Chailytko, responsable de la cybersécurité, de la recherche et de l’innovation chez Check Point, les systèmes concernés représentent majoritairement le grand public, avec seulement, à la marge, « quelques entreprises ». Et si les chiffres avancés ne sont pas plus précis, c’est parce qu’ils s’appuient sur les données de télémétrie recueillies par Check Point auprès de ses clients. Globalement, Check Point indique qu’une organisation sur 45 a été touchée par Trickbot.
Les jours de Trickbot pourraient toutefois être comptés. Le 11 février, des chercheurs, dont le fournisseur de services de surveillance du dark web Hold Security, ont signalé que Trickbot avait perdu des membres clés de son gang. Alexander Chailytko indique pour sa part avoir « constaté un déclin de l’activité de Trickbot au cours des deux derniers mois ».
Mais Vitali Kremez, d’AdvIntel, est plus prudent. Le 11 février, il assurait ainsi que « TrickBot reste opérationnel, avec une activité plus faible comme d’habitude ces temps-ci ». Pour autant, TrickBot semble aujourd’hui trop repérable pour conduire des cyberattaques avec le ransomware Conti. AdvIntel assure ainsi que « Contri a déjà recruté les principaux membres de TrickBot et peut désormais investir dans de meilleurs produits ». À commencer par BazarBackdoor aujourd’hui « utilisé pour les cibles à forte valeur » : « BazarBackdoor faisait historiquement partie de l’arsenal de TrickBot, mais est devenu un outil pleinement autonome ».
Pour AdvIntel, l’épopée TrickBot s’approche donc de son terme. Mais cela n’indique pas pour autant le départ à la retraite de ceux qui ont présidé à sa destinée.