Connect with us

Technologie

Résilient Trickbot vers le bas, mais pas encore assommé

Published

on


Les chasseurs de menaces continuent de faire la guerre aux opérateurs de Trickbot, un groupe cybercriminel basé en Russie connu sous le nom de Wizard Spider, une semaine après qu’une coalition mondiale dirigée par Microsoft a réussi à causer des perturbations substantielles à l’infâme botnet de distribution ransomware.

Selon Intel 471, des variantes patchées de Trickbot ont été repérées dans la nature dans les 48 heures suivant le retrait initial. Le directeur de l’exploitation de l’entreprise, Jason Passwaters, l’a décrit comme « un autre tour dans les deux sens entre les opérateurs de Trickbot et les parties séparées qui ont tenté de perturber les actions du botnet ».

Passwaters a déclaré que cela montrait à quel point une opération trickbot était résiliente et comment ses opérateurs ont pensé à leur propre sécurité et soutien informatique, tout comme une équipe informatique d’entreprise devrait, en tenant compte de la planification de la continuité, le besoin de sauvegardes, et ainsi de suite. Il a dit que ce serait un défi récurrent pour ceux qui cherchent à prendre Trickbot hors ligne pour de bon.

« Il y a une dizaine d’années, il était beaucoup plus facile de prendre complètement le relais ou de perturber considérablement un botnet, mais les cybercriminels sont des étudiants de takedowns et ont appris à rendre leurs opérations plus résilientes aux efforts de retrait », a déclaré Passwaters.

« C’est pourquoi chaque tentative de retrait a le potentiel de donner du terrain à l’adversaire. Vous leur enseignez où sont les faiblesses de leur armure et ils ont une équipe de développeurs prêts à agir sur cette information. Donc, à moins que vous frappez un coup mortel, vous n’allez pas les avoir un impact à long terme.

Les chercheurs de Crowdstrike ont déclaré avoir vu plus d’une douzaine d’attaques confirmées identifiées à l’aide des ransomwares préférés de Wizard Spider – Conti et Ryuk – depuis le début de la perturbation de Trickbot, et ont déclaré qu’il y avait sans aucun doute eu un certain impact à court terme sur le réseau, mais que le groupe avait réagi rapidement, efficacement et efficacement.

« Wizard Spider, avec son jeu d’outils diversifié et efficace, s’est avéré être un adversaire hautement capable et continue d’être résilient, réactif et résolu alors qu’ils continuent à diriger leur formidable entreprise criminelle », a écrit son équipe d’intel dans une mise à jour publiée le vendredi 16 octobre.

« La résilience d’acteurs avancés de la menace criminelle comme Wizard Spider font qu’il est de plus en plus important que nous, en tant qu’industrie, continuions à riposter. Toute tentative d’augmenter le coût pour les criminels contribue à un cyberespace plus sûr.

Dans une mise à jour ultérieure, les observateurs d’Intel 471 ont de nouveau déclaré avoir vu de nouveaux échantillons de Trickbot être distribués via Emotet le 19 octobre.

L’exemple comprenait une liste de serveurs de commande et de contrôle (C2) dans le cadre de sa configuration. Ces serveurs étaient situés en Bosnie-Herzégovine, en Allemagne, aux Pays-Bas, en Roumanie, au Turkménistan et aux États-Unis. Cependant, aucun d’entre eux ne répondait aux demandes de bots Trickbot, ce qui laisse entendre que les opérations de perturbation réussies se poursuivent à l’échelle mondiale.

Néanmoins, il ya encore des serveurs Trickbot C2 en cours situés dans un certain nombre de juridictions, y compris le Brésil, la Colombie, l’Indonésie et le Kirghizistan, bien que selon ESET, qui a pris part à la coalition de Microsoft, les échantillons dans la nature restent encore bien en dessous de leurs numéros de détection précédents.

De plus amples renseignements sur Trickbot, y compris des conseils sur les mesures d’atténuation proactives que les équipes de sécurité peuvent prendre immédiatement, sont disponibles auprès du Centre national de cybersécurité du Royaume-Uni.



Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending