Le malware qui avait sévi en 2021, attaquant les clients de grandes banques et de Microsoft ou Amazon, semble en perte de vitesse. Pour autant, ses résurgences, telle la souche de ransomware Diavol continuent à être actives et risquées pour les entreprises.
Le démantèlement en 2021 de quelques membres importants du groupe russe de développeurs de ransomware Trickbot n’a pas mis fin aux menaces. Les demandes de rançon après les attaques réussies de ce dernier s’étendaient de 10.000 $ à 500.000$ selon le FBI mais l’agence américaine précise que les pirates du successeur de Trickbot, Diavol, négocient avec les victimes pour des montants inférieurs. Des conséquences moindres mais un mode opératoire identique avec l’utilisation de bot ID pour identifier l'utilisateur infecté sur un ordinateur. « Depuis quelques arrestations très médiatisées de codeurs présumés de Trickbot à la fin de 2021, ces derniers ont commencé à rendre leurs opérations plus difficiles à suivre. Alors que la variante du "malware Trickbot", qui était auparavant très répandue, ne semble pas être largement utilisée en 2022, nous avons vu d'autres malwares tels que la souche de ransomware Diavol, liée aux mêmes acteurs de la menace Wizard Spider qui sont derrière Trickbot. Diavol et Trickbot ont en commun une méthode d'identification de l'ordinateur de la victime par la création d'un BotID. Le FBI a récemment mis en garde contre le risque que représente ce ransomware et ses liens avec Trickbot. » explique James Maude, Lead Cyber Security Researcher de la société BeyondTrust, plateforme de gestion des accès privilégiés.
Des attaques qui ciblent les entreprises après avoir visé les particuliers
L’écosystème cybercriminel repose en partie sur la revente des codes d’accès dérobés, propageant ainsi les menaces vers les entreprises et institutions.
« Il s'agit généralement d'attaques opportunistes qui adoptent souvent une approche dispersée pour essayer d'attraper autant de victimes que possible. En tant que cheval de Troie bancaire, Trickbot se concentrait traditionnellement sur les particuliers, car ils étaient plus susceptibles de se connecter à leur banque en ligne sur leur propre machine. Cependant, l'écosystème de la cybercriminalité signifie que les entreprises qui ont été compromises peuvent par la suite voir un accès par porte dérobée vendu à un autre acteur de menace qui tentera de se déplacer latéralement et de lancer une attaque de ransomware généralisée. Ainsi, même s'ils ne lancent pas des attaques aussi sophistiquées et ciblées que d'autres acteurs de la menace, le risque reste important.» prévient James Maude.
Des malwares tels BazarBackdoor, qui faisait partie de Trickbot, ciblent les entreprises à forte valeur pour les pirates. Ils font appel aux utilitaires de Windows pour passer sous le radar des outils de détections.
« BazarBackdoor semble avoir été développé par le groupe Trickbot et a récemment utilisé des fichiers CSV infectés qui exploitent les outils natifs de Windows tels que WMIC et PowerShell pour lancer le malware sur le système de la victime. Cela fait partie d'une tendance actuelle des attaquants à essayer de "vivre en dehors du terrain" et à utiliser autant que possible les outils natifs pour échapper à la détection » conclut James Maude.
