Un botnet se nourrit lui-même des ordinateurs qu'il infecte. Ce qui rend sa neutralisation très compliquée. © Gerd Altmann, Pixabay
Tech

Microsoft neutralise un botnet qui distribuait des ransomwares installés sur des millions d'ordinateurs

ActualitéClassé sous :Tech , cybersécurité , botnet

Hôpitaux, administrations, particuliers... Trickbot a touché des millions d'ordinateurs et Microsoft a obtenu l'autorisation de la justice américaine pour s'attaquer aux serveurs de ce botnet. En pleine élection américaine, la firme a reçu l'aide de l'armée et des principales sociétés de cybersécurité.

Cela vous intéressera aussi

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Trickbot : c'est le nom d'un botnet, de type Malware-as-a-service (MAAS), qui a infecté des millions d'ordinateurs pour propager des ransomwares, ces malwares qui bloquent les PC pour réclamer une rançon. Sur son blog, Microsoft explique l'avoir neutralisé et pour cela, la firme s'est rapprochée de la justice puisque c'est une ordonnance délivrée par un tribunal de l'État de Virginie qui lui a permis de prendre le contrôle de serveurs utilisés par les hackers.

« Nous avons maintenant coupé l'infrastructure clé afin que ceux qui exploitent Trickbot ne soient plus en mesure d'initier de nouvelles infections ou d'activer les ransomwares déjà installés dans les systèmes informatiques », écrit Tom Burt, vice-président de la sécurité chez Microsoft.

Si la firme est aussi déterminée, c'est tout simplement parce que les pirates utilisent les marques Microsoft et Windows pour piéger les utilisateurs, et elle estime que ça nuit à sa réputation.

Symantec détaille le mode d'attaque d'un malware-as-a-service comme Trickbot avec un premier spam, une macro vérolée, puis ensuite l'installation d'un virus et le vol de mots de passe. © Symantec

Des fichiers Office utilisés pour piéger les victimes

Un exemple d'email montre ainsi un fichier Word dans lequel l'utilisateur est censé lire des détails sur sa feuille d'imposition. C'est un piège, et l'ouverture du fichier ouvre la porte à l'installation du ransomware. Microsoft a déclaré qu'il exploiterait les serveurs Trickbot saisis pour identifier et pour aider les utilisateurs Windows touchés par le malware Trickbot à nettoyer le malware de leurs systèmes.

Microsoft révèle ainsi que le malware a été utilisé pour voler les mots de passe de millions d'ordinateurs infectés et pour détourner l'accès à bien plus de 250 millions de comptes de messagerie à partir desquels de nouvelles copies du malware sont envoyées aux contacts de la victime. Mais les dégâts peuvent être aussi bien plus conséquents lorsque la cible est une administration, une entreprise ou un établissement public.

Cette fausse facture au format Word indique qu'elle est protégée et qu'il est nécessaire d'ôter la protection pour l'éditer. En activant l'édition, on installe malgré soi le malware. © Malwarebytes

Des hôpitaux touchés

Microsoft rapporte ainsi qu'une souche de ransomware liée au botnet Trickbot a récemment frappé l'Universal Health Services (UHS), un hôpital et fournisseur de services de santé qui exploite plus de 400 établissements aux États-Unis et au Royaume-Uni. Il y a 15 jours, l'UHS a été contraint de fermer ses systèmes informatiques dans des établissements de santé à travers les États-Unis dans le but d'arrêter la propagation du malware.

La perturbation a amené certains hôpitaux touchés à rediriger les ambulances et à transférer les patients nécessitant une intervention chirurgicale vers d'autres hôpitaux voisins. On se souvient qu'en Allemagne, une personne est décédée à cause d'une attaque de ransomware.

On le voit, c'est une lutte permanente, d'autant que les pirates utilisent des adresses dynamiques. L'unique solution est un effort commun à la fois privé et public. Ainsi, l'armée américaine a mené sa propre attaque en infectant les serveurs de faux enregistrements pour piéger les opérateurs du botnet. Par ailleurs, Microsoft a reçu le soutien de nombreux acteurs de la cybersécurité comme FS-ISAC, ESET, Black Lotus Labs de Lumen, NTT et Symantec.

Objectif : éviter que les élections américaines ne soient le théâtre d'une attaque d'envergure.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !