Le logiciel malveillant TrickBot est un cheval de Troie bancaire apparu en 2016. Depuis, il s’est mué en logiciel malveillant modulaire et multiphase, capable d’effectuer de nombreuses activités illicites. En voici quelques exemples :

• Vol d’identifiants, de données et de données personnelles
• Élévation des privilèges de comptes pour étendre l’accès au réseau compromis
• Installation de portes dérobées sur le réseau pour autoriser un accès à distance
• Téléchargement et installation d’autres logiciels malveillants ou ransomwares, le plus souvent les ransomwares Ryuk ou Conti, pour orchestrer des attaques secondaires
• Désactivation des outils antivirus ou autres mesures de cybersécurité, telles que Windows Defender
• Automutation pour échapper à la détection

C’est la nature opportuniste de TrickBot qui le rend très inquiétant. Il peut s’adapter et évoluer pour cibler les points faibles d’un réseau ou environnement et les exploiter lors d’attaques de logiciels malveillants ou de ransomwares ultérieures.

See Crowdstrike Falcon In Action

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Mode opératoire du logiciel malveillant TrickBot

Le logiciel malveillant TrickBot est connu pour ses capacités d’évolution et d’adaptation. Néanmoins, de nombreuses campagnes suivent une séquence d’attaque relativement simple :

1. TrickBot est transmis à la cible par un lien ou une pièce jointe infectés.
2. Une fois téléchargé sur le terminal infecté, il invite l’utilisateur à activer les macros, ce qui entraîne l’installation du fichier binaire de TrickBot. Le logiciel malveillant a ensuite recours à plusieurs modèles pour infecter le réseau et s’emparer des données.
3. Afin de préparer le terrain pour de futures attaques, les opérateurs de TrickBot peuvent aussi tenter de désactiver la protection antivirus.
4. Dans le cadre d’une attaque secondaire, TrickBot peut propager le logiciel malveillant latéralement sur le réseau, généralement en exploitant une vulnérabilité du protocole SMB (Server Message Block).
5. Le groupe TrickBot déploie une attaque secondaire, telle qu’une attaque du ransomware Ryuk.
6. Les cyberattaquants suppriment ou chiffrent manuellement les fichiers et les copies de sauvegarde.
7. Ryuk chiffre toutes les données système et lance le chemin d’attaque du ransomware.

Symptômes du logiciel malveillant TrickBot

Malheureusement, l’utilisateur remarquera rarement les symptômes d’une infection TrickBot puisqu’elle est conçue pour opérer en toute discrétion. Il se peut qu’un administrateur du réseau remarque les signes d’appel d’une attaque, tels qu’un changement inhabituel du trafic ou une tentative de connexion à des domaines étrangers ou placés sur liste noire. Cependant, la détection d’une attaque TrickBot est difficile, voire impossible pour l’être humain, en raison de la nature tentaculaire et complexe de la plupart des clouds et environnements de travail hybrides modernes, ainsi que de la nature sophistiquée du logiciel malveillant TrickBot.

Les entreprises doivent se protéger avec un arsenal avancé et complet d’outils de cybersécurité qui surveilleront en continu le trafic sur le réseau et les autres activités en temps réel. Ils alerteront alors l’équipe informatique d’un comportement suspect ou de toute anomalie nécessitant une analyse plus fouillée.

Historique du logiciel malveillant TrickBot

TrickBot a fait son apparition en 2016. Voleur d’informations bancaires à ses débuts, TrickBot aurait des liens avec Dyreza, un autre voleur d’identifiants très performant, actif quelques années auparavant. TrickBot et Dyreza présentent des similitudes opérationnelles et structurelles notables, dont leur mode de communication avec les serveurs de commande et contrôle.

Un an après son lancement, TrickBot avait évolué pour intégrer un module de ver, très probablement pour plagier la campagne à succès du ransomware WannaCry. À ce stade, les créateurs avaient aussi développé un module pour cibler les identifiants Outlook, exposant ainsi des millions, voire milliards, de comptes d’entreprise à un risque de compromission. Fort de ce développement et d’autres évolutions, TrickBot a pu étoffer ses fonctionnalités pour pratiquer la collecte de cookies, de l’historique de navigation et d’autres informations sensibles. Fin 2018, TrickBot était considéré comme l’une des principales menaces pour la cybersécurité sur le marché.

Ces dernières années, des experts en cybersécurité ont été témoins d’une nette amélioration des techniques de subversion de TrickBot, ce qui complique encore la détection d’une attaque dans les entreprises.

Outre le vol d’informations financières ou son usage comme plateforme d’attaques de ransomwares, TrickBot peut aussi servir à perturber des services publics essentiels ou entraver le processus démocratique. Lors de la dernière élection présidentielle aux États-Unis, les agences de renseignements ont confirmé que ce logiciel malveillant avait menacé le bon déroulement sécurisé du scrutin.

Actualité TrickBot par CrowdStrike

Le point sur WIZARD SPIDER : résistant, réactif et tenace. Lire l’article

Ces derniers mois, WIZARD SPIDER a prouvé sa pugnacité et son dévouement aux activités criminelles en orchestrant plusieurs familles de ransomwares selon plusieurs modes opératoires. Il s’est servi de TrickBot et de BazarLoader pour infiltrer les environnements des victimes et réagir aux tentatives de blocage.

Chasse au gros gibier avec Ryuk : un autre ransomware ciblé lucratif. Lire l’article

WIZARD SPIDER est un groupe cybercriminel chevronné aux manettes du ransomware Ryuk depuis août 2018. Il cible essentiellement les grandes entreprises dans l’espoir de décrocher la timbale. Ce mode opératoire, surnommé « chasse au gros gibier », marque un basculement dans les activités de WIZARD SPIDER. Cet acteur est un groupe criminel russe connu pour son logiciel malveillant bancaire TrickBot qui pratiquait surtout la fraude électronique.

Comment se protéger du logiciel malveillant TrickBot ?

Dans les entreprises, la première étape pour se protéger des logiciels malveillants TrickBot est la sensibilisation. Seuls, les êtres humains ne sont pas en mesure d’assurer une surveillance et une analyse du trafic et de l’activité réseau à même de détecter une attaque en cours. Il y a donc lieu d’élaborer une stratégie de cybersécurité totale et permanente pour protéger le réseau, les endpoints et les utilisateurs des entreprises à l’aide de fonctionnalités avancées et intelligentes de prévention, de détection et d’intervention.

Ces solutions sont censées automatiser des pans essentiels de la surveillance et de l’analyse. Elles envoient des alertes en temps réel aux administrateurs pour les aider à établir des priorités. Citons les missions suivantes :

• Surveillance des indicateurs de compromission et d’attaque
• Isolement des équipements infectés du réseau
• Mise à niveau du réseau et des logiciels et application des correctifs pour faire face aux vulnérabilités système
• Signalement des anomalies ou des activités inhabituelles sur le réseau à l’équipe de cybersécurité

L’entreprise doit également agir pour assurer la sécurité globale du réseau à l’aide des bonnes pratiques de cybersécurité suivantes :

• Mise en place d’une visibilité de bout en bout du réseau, y compris de tous les endpoints et utilisateurs
• Respect du principe du moindre privilège, concept et pratique de sécurité informatique consistant à attribuer aux utilisateurs des droits d’accès limités en fonction des tâches utiles à leur travail
• Déploiement d’une stratégie de segmentation du réseau visant à isoler des pans du réseau d’entreprise pour limiter la surface d’attaque
• Implémentation d’une authentification à plusieurs facteurs et d’autres techniques de sécurité des identités

Les attaques de TrickBot se lançant par un lien ou une pièce jointe malveillants, il est tout aussi capital de former les collaborateurs à la prudence et à la responsabilité en ligne, notamment :

• en assurant une formation en cybersécurité pour les familiariser avec les techniques d’attaque courantes ;
• en leur communiquant régulièrement des exemples de campagnes d’e-mails de phishing ou d’ingénierie sociale pour inviter à redoubler de prudence ;
• en intégrant une bannière ou un message les alertant qu’un e-mail provient d’une source extérieure ;
• en les invitant à modifier régulièrement leurs mots de passe et en s’assurant que ceux-ci sont complexes ;
• en les invitant à garder la mainmise sur leur terminal et à ne laisser personne d’autre l’utiliser.