Hôpitaux, administrations, particuliers... Trickbot a touché des millions d'ordinateurs et Microsoft a obtenu l'autorisation de la justice américaine pour s'attaquer aux serveurs de ce botnet. En pleine élection américaine, la firme a reçu l'aide de l'armée et des principales sociétés de cybersécurité.

Cela vous intéressera aussi

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ? Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ?

Trickbot : c'est le nom d'un botnetbotnet, de type Malware-as-a-service (MAASMAAS), qui a infecté des millions d'ordinateursordinateurs pour propager des ransomwaresransomwares, ces malwares qui bloquent les PCPC pour réclamer une rançon. Sur son blog, Microsoft explique l'avoir neutralisé et pour cela, la firme s'est rapprochée de la justice puisque c'est une ordonnance délivrée par un tribunal de l'État de Virginie qui lui a permis de prendre le contrôle de serveursserveurs utilisés par les hackers.

« Nous avons maintenant coupé l'infrastructure clé afin que ceux qui exploitent Trickbot ne soient plus en mesure d'initier de nouvelles infections ou d'activer les ransomwares déjà installés dans les systèmes informatiques », écrit Tom Burt, vice-président de la sécurité chez Microsoft.

Si la firme est aussi déterminée, c'est tout simplement parce que les pirates utilisent les marques Microsoft et Windows pour piéger les utilisateurs, et elle estime que ça nuit à sa réputation.

Symantec détaille le mode d'attaque d'un <em>malware-as-a-service</em> comme Trickbot avec un premier spam, une macro vérolée, puis ensuite l'installation d'un virus et le vol de mots de passe. © Symantec
Symantec détaille le mode d'attaque d'un malware-as-a-service comme Trickbot avec un premier spam, une macro vérolée, puis ensuite l'installation d'un virus et le vol de mots de passe. © Symantec

Des fichiers Office utilisés pour piéger les victimes

Un exemple d'email montre ainsi un fichier Word dans lequel l'utilisateur est censé lire des détails sur sa feuille d'imposition. C'est un piège, et l'ouverture du fichier ouvre la porteporte à l'installation du ransomware. Microsoft a déclaré qu'il exploiterait les serveurs Trickbot saisis pour identifier et pour aider les utilisateurs Windows touchés par le malwaremalware Trickbot à nettoyer le malware de leurs systèmes.

Microsoft révèle ainsi que le malware a été utilisé pour voler les mots de passemots de passe de millions d'ordinateurs infectés et pour détourner l'accès à bien plus de 250 millions de comptes de messagerie à partir desquels de nouvelles copies du malware sont envoyées aux contacts de la victime. Mais les dégâts peuvent être aussi bien plus conséquents lorsque la cible est une administration, une entreprise ou un établissement public.

Cette fausse facture au format Word indique qu'elle est protégée et qu'il est nécessaire d'ôter la protection pour l'éditer. En activant l'édition, on installe malgré soi le malware. © Malwarebytes
Cette fausse facture au format Word indique qu'elle est protégée et qu'il est nécessaire d'ôter la protection pour l'éditer. En activant l'édition, on installe malgré soi le malware. © Malwarebytes

Des hôpitaux touchés

Microsoft rapporte ainsi qu'une souche de ransomware liée au botnet Trickbot a récemment frappé l'Universal Health Services (UHS), un hôpital et fournisseur de services de santé qui exploite plus de 400 établissements aux États-Unis et au Royaume-Uni. Il y a 15 jours, l'UHS a été contraint de fermer ses systèmes informatiques dans des établissements de santé à travers les États-Unis dans le but d'arrêter la propagation du malware.

La perturbation a amené certains hôpitaux touchés à rediriger les ambulances et à transférer les patients nécessitant une intervention chirurgicale vers d'autres hôpitaux voisins. On se souvient qu'en Allemagne, une personne est décédée à cause d'une attaque de ransomware.

On le voit, c'est une lutte permanente, d'autant que les pirates utilisent des adresses dynamiques. L'unique solution est un effort commun à la fois privé et public. Ainsi, l'armée américaine a mené sa propre attaque en infectant les serveurs de faux enregistrements pour piéger les opérateurs du botnet. Par ailleurs, Microsoft a reçu le soutien de nombreux acteurs de la cybersécurité comme FS-ISAC, ESET, Black Lotus Labs de LumenLumen, NTTNTT et Symantec.

Objectif : éviter que les élections américaines ne soient le théâtre d'une attaque d'envergure.