Microsoft a saisi la justice pour lutter contre un botnet après une attaque de malware visant des utilisateurs d’Office 365.
Microsoft a annoncé avoir réussi à interrompre l’activité du botnet Trickbot après que ce dernier ait pris au piège certains des utilisateurs d’Office 365. La société a soumis une demande légale de suppression de l’infrastructure de botnet gérée par des pirates.
Selon Microsoft, son équipe Defender Antivirus a travaillé avec les principaux partenaires de la cybercriminalité pour collecter des échantillons et démêler les informations critiques liées au système de botnet. Les participants au groupe d’échange de données sur la cybersécurité incluent FS-ISAC, Black Lotus Labs de Lumen, ESET, Symantec et NTT.
Selon des documents judiciaires déposés, Microsoft a demandé l’autorisation de prendre le contrôle de domaines et de serveurs appartenant au groupe malveillant basé en Russie. Il souhaitait également un consentement juridique pour bloquer les adresses IP associées au complot et empêcher les entités derrière lui d’acheter ou de louer des serveurs.
Les demandes faisaient partie d’un plan d’action plus vaste pour détruire les données stockées dans les systèmes des pirates. L’intention était d’abord de bloquer l’accès aux serveurs contrôlant plus d’un million de machines infectées. Cette décision serait une étape cruciale dans l’arrêt du contrôle de plus de 250 millions d’adresses e-mail piratées supplémentaires.
Microsoft a déclaré que la stratégie de Trickbot avait été principalement couronnée de succès car il utilisait une application Office 365 tierce personnalisée. Inciter les utilisateurs à l’installer permettait aux auteurs de contourner les mots de passe au lieu de se fier au jeton OAuth2. Grâce à cette technique, ils pouvaient accéder aux comptes d’utilisateurs Microsoft 365 compromis et aux données sensibles qui leur sont associées, telles que le contenu des e-mails et les listes de contacts.
Dans les documents judiciaires, Microsoft déplore que Trickbot ait utilisé des adresses e-mail Microsoft authentiques et d’autres informations sur la société pour calomnier ses clients. Il fait valoir que le réseau a utilisé son nom et son infrastructure à des fins malveillantes, ternissant ainsi son image.
Les chercheurs ont détecté le réseau Trickbot pour la première fois en 2016. Il a débuté comme un cheval de Troie bancaire et s’est développé plus tard en un installateur de logiciels malveillants multiplex. Le ver mis à jour a ensuite compromis des millions d’appareils dans le monde. Les entités derrière le réseau ont, au fil des ans, loué l’accès à des systèmes infectés à d’autres syndicats de cybercriminalité. Les analystes l’appellent largement Malware-as-a-Service (MaaS).
Malgré les meilleurs efforts de Microsoft et des agences gouvernementales américaines pour éliminer Trickbot, les experts en sécurité d’Intel471 préviennent que la récente décision semble avoir eu un impact minime. Selon la société, le réseau botnet est largement décentralisé et utilise des réseaux de masquage IP tels que Tor pour masquer les emplacements des serveurs. Cette approche élaborée minimise les dommages causés par les démontages ciblés.
Comme indiqué dans le dernier rapport de la société, «la liste des adresses IP Trickbot de Microsoft contenait quatre adresses IP au moment de ce rapport et étaient poussées par les opérateurs de Trickbot en tant que serveurs de commande et de contrôle Trickbot. Au moment de la rédaction de ce rapport, Intel 471 n’avait constaté aucun impact significatif sur l’infrastructure de Trickbot et sa capacité à communiquer avec les systèmes infectés par Trickbot. »
