Les organisations britanniques ne sont pas perturbées par la montée en puissance de Trickbot

Malgré des retraits partiellement réussis dans le passé, une augmentation des infections Trickbot a compromis plus de 140 000 systèmes chez les clients de certaines des organisations les plus importantes au monde, notamment Amazon, Google et Microsoft, depuis fin 2020, mais a laissé des entités au Royaume-Uni largement indemnes.

De nouveaux chiffres publiés par Check Point Research révèlent comment le célèbre cheval de Troie bancaire devenu chargeur de logiciels malveillants vise les clients d’organisations de haut niveau et généralement dignes de confiance pour voler et compromettre leurs données les plus sensibles.

La liste des 60 sociétés les plus ciblées comprend American Express, AOL, Barclays, Capital One, Citibank, JPMorgan Chase, LexisNexis, PayPal, Wells Fargo et Yahoo, et les entreprises d’Asie-Pacifique (APAC) semblent être les plus touchées, les organisations en Chine étant les plus vulnérables.

Dans l’ensemble, une organisation mondiale sur 45, soit 2,2 %, a été touchée par Trickbot, 3,3 % dans la région APAC, 2,1 % en Amérique latine, 1,9 % en Europe, 1,8 % en Afrique et 1,4 % en Amérique du Nord. Cependant, pays par pays, le Royaume-Uni en ressort relativement peu affecté, ce qui peut être interprété comme une bonne réflexion sur les équipes de sécurité britanniques.

« Les chiffres de Trickbot ont été stupéfiants. Nous avons documenté plus de 140 000 machines ciblant les clients de certaines des entreprises les plus importantes et les plus réputées au monde », a déclaré Alexander Chailytko, responsable de la recherche et de l’innovation en cybersécurité chez Check Point.

« Les auteurs de Trickbot ont les compétences nécessaires pour aborder le développement de logiciels malveillants à partir d’un niveau très bas et prêter attention aux petits détails. Trickbot attaque les victimes de haut niveau pour voler les informations d’identification et fournir à ses opérateurs un accès aux portails avec des données sensibles où elles peuvent causer encore plus de dégâts.

« Dans le même temps, nous savons que les opérateurs derrière l’infrastructure sont également très expérimentés dans le développement de logiciels malveillants à un niveau élevé. La combinaison de ces deux facteurs est ce qui permet à Trickbot de rester une menace dangereuse depuis plus de cinq ans déjà. J’exhorte fortement les gens à n’ouvrir que des documents provenant de sources fiables et à utiliser des mots de passe différents sur différents sites Web », a-t-il déclaré.

Trickbot est distribué via des e-mails de phishing contenant des documents malveillants qui, s’ils sont ouverts, permettent l’exécution de macros pour télécharger la charge utile principale de Trickbot afin d’établir la persistance sur les machines infectées. Les modules Trickbot auxiliaires avec des fonctionnalités différentes, jusqu’à 20 sont actuellement connus, peuvent ensuite être téléchargés selon les besoins par les acteurs de la menace.

Trickbot est généralement très sélectif dans la façon dont il choisit ses cibles et intègre diverses fonctionnalités, telles que des outils anti-analyse et anti-désobfuscation, pour le rendre plus difficile à détecter et à arrêter.

Même si la série actuelle d’infections semble donner au Royaume-Uni une large place, Trickbot peut être stoppé dans son élan en prêtant attention à certains principes de base de la cyberhygiène. Les utilisateurs ne doivent ouvrir que les documents qu’ils reçoivent de sources fiables et ne doivent pas activer l’exécution de macros à l’intérieur des documents ; maintenir les systèmes d’exploitation et les antivirus à jour; et utilisez des mots de passe différents et forts sur différents sites Web.

Jamie Akhtar, PDG et fondateur de Cybersmart, a commenté : « L’évolution continue de Trickbot est un développement très inquiétant, d’autant plus qu’il peut maintenant être utilisé pour mener une variété d’attaques.

« Les attaques Trickbot reposent sur l’exploitation des noms et de l’image de marque d’institutions financières bien connues, nous exhortons donc tout le monde à jeter un second coup d’œil à toute communication qu’ils reçoivent prétendant provenir d’une banque. Si quelque chose ne semble pas correct, ce n’est probablement pas le cas. Faites attention aux communications qui semblent inhabituelles – par exemple, votre banque vous enverrait-elle habituellement un courriel? Et, en cas de doute, vérifiez toujours auprès de votre fournisseur.