Nomad_Soul - Fotolia
Les États-Unis et le Royaume-Uni imposent des sanctions aux membres du groupe TrickBot
Le groupe est impliqué dans de nombreux dommages causés à des organisations outre-Manche et outre-Atlantique. Son maliciel a notamment été utilisé pour obtenir des accès initiaux avant la conduite de cyberattaques avec les rançongiciels Ryuk et Conti.
Les autorités américaines et britanniques ont sanctionné sept membres présumés du groupe cybercriminel TrickBot, qui ont également des liens avec les services de renseignement russes.
Le département américain du Trésor a annoncé jeudi les sanctions conjointes et a détaillé l’effort coordonné avec le gouvernement britannique. Actif depuis 2016, le malware TrickBot a été utilisé pour déployer des ransomwares et a infecté plus de 140 000 machines entre 2020 et 2022 seulement. Le cheval de Troie bancaire a été utilisé dans les opérations des groupes de ransomware Conti et Ryuk.
En plus de leur implication présumée dans TrickBot, les « membres actuels » du groupe sont associés aux services de renseignement du gouvernement russe. « Les préparatifs du groupe Trickbot en 2020 les alignaient sur les objectifs de l’État russe et le ciblage précédemment mené par les services de renseignement russes », a déclaré le département du Trésor américain dans un communiqué de presse. « Cela incluait le ciblage du gouvernement américain et des entreprises américaines ».
Ce n’est pas la première judiciaire contre un membre présumé de TrickBot. Le développeur Alla Witte a été inculpé en 2021 pour son implication présumée dans le groupe cybercriminel. Cependant, l’annonce de jeudi est la « toute première sanction de ce type pour le Royaume-Uni », selon le département du Trésor. Par conséquent, les entreprises ou les particuliers qui travaillent avec des membres de TrickBot sanctionnés pourraient avoir à faire face à des conséquences juridiques.
Le département américain du Trésor a également souligné une augmentation de l’activité de TrickBot pendant la pandémie. La menace a augmenté de manière si significative qu’elle a conduit Microsoft à prendre des mesures pour perturber 94 % de l’infrastructure de TrickBot en octobre 2020. Cependant, le démantèlement n’a eu qu’un effet temporaire.
Les cibles de TrickBot comprenaient des infrastructures critiques, des hôpitaux et d’autres organismes de santé. En 2020, les forces de l’ordre aux États-Unis et au Royaume-Uni ont émis des avis à l’intention du secteur de la santé, mettant en garde contre une augmentation des attaques impliquant TrickBot.
Identité confirmée pour quelques membres de TrickBot
Les noms et pseudonymes de sept membres présumés associés aux services de renseignement russes ont été énumérés dans le communiqué de presse. Les rôles de chaque membre accusé vont du blanchiment d’argent au développement de TrickBot, ransomware et autres maliciels.
Vitaly Kovalev, connu sous les pseudonymes « Bentley » et « Ben », est accusé d’être l’un des principaux responsables de TrickBot. Le département du Trésor a également annoncé qu’un acte d’accusation prononcé par le tribunal fédéral du district du New Jersey et rendu public jeudi accusait Kovalev de conspiration en vue de commettre une fraude bancaire, notamment « une série d’intrusions dans des comptes bancaires de victimes détenus dans diverses institutions financières basées aux États-Unis » en 2009 et 2010, avant sa participation présumée à TrickBot.
Maksim Mikhailov, également connu sous le nom de « Baget », est accusé d’avoir développé TrickBot. Valentin Karyagin, dont le surnom en ligne est « Globus », serait impliqué dans le développement de ransomware et d’autres projets de logiciels malveillants. Mikhail Iskritskiy, qui se cache derrière l’alias « Tropa », aurait travaillé sur le blanchiment d’argent et d’autres projets de fraude pour le groupe TrickBot.
Dmitry Pleshevskiy, également connu sous le nom d’« Iseldor », est accusé d’avoir déployé un code malveillant pour le vol d’identifiants.
Ivan Vakhromeyev est accusé de travailler en tant que responsable de TrickBot. Son alias est « Mushroom ». Enfin, Valery Sedletski, également connu sous le nom de « Strix », aurait travaillé comme administrateur, gérant les serveurs de TrickBot.
L’annonce de ces sanctions vient conforter certaines fuites survenues à la suite de prise de position de Contien faveur de la Russie, lors de l’invasion de l’Ukraine. Les identités de Baget, Mushroom, Strix et Tropa avaient à cette occasion déjà été dévoilées. Celles d’Iseldor et de Globus étaient toutefois inconnues. L’identité prêtée à Bentley lors des fuites sur Conti était différente de celle révélée par les autorités américaines.
À l’occasion des Conti Leaks, d’autres allégations avaient été formulées quant à l’identité de membres du gang. Il est probablement que celles-ci n’aient pas encore pu être confirmées.