Les outils malveillants ont de beaux jours devant eux. Surtout quand on s'appelle Trickbot, un malware apparu il y a quelques années et à l'origine positionné en tant que trojan bancaire. Mais il a bien évolué depuis au point de devenir l'un des fers de lance des plus grands groupes de cybercriminels du moment, Conti. « TrickBot s'appuie sur un système modulaire. Cela signifie que ses modules distincts peuvent être utilisés à des fins différentes, ce qui en fait un logiciel malveillant particulièrement flexible », expliquent les chercheurs en sécurité d'Advintel. « En octobre 2021, TrickBot a même développé une fonction conçue pour inspecter le micrologiciel UEFI/BIOS de ses cibles, afin de survivre à tout effort de réinvention du système pendant la phase de récupération d'un événement de rançongiciel Ryuk ».
Principal loader de Ryuk comme l'avait rappelé l'Anssi, TrickBot a été utilisé dans le cadre d'actions malveillantes ciblant les infrastructures critiques différents secteurs (santé, la finance, télécommunications, éducation...). Ces derniers mois, Conti est devenu le seul utilisateur final du produit botnet de TrickBot. À la fin de 2021, Conti avait essentiellement acquis TrickBot, avec plusieurs développeurs et gestionnaires d'élite rejoignant le ransomware cosa nostra », indique Advintel. Le cybergang Conti est aussi puissant qu'il est résilient, ce dernier ayant réussi aussi à rescusciter Emotet. Au sein de sa structure, une « division d'élite » baptisée Overdose, qui a notamment géré les campagnes TrickBot ayant débouché sur la création des rançongicels Conti et Ryuk.
Les meilleurs membres de TrickBot embauchés
Au fil des actions conjointes des forces de l'ordre et de justice au niveau international, les concurrents de Conti se sont alors peu à peu éteints. Pas Conti, qui a au contraire su tirer son épingle du jeu. Dans le cadre de son activité, Conti a par ailleurs embauché les meilleurs membres de TrickBot et peut désormais investir par ailleurs dans des produits plus récents et de meilleure qualité. « Prenez BazarBackdoor, le malware de remplacement le plus récent et le plus furtif du groupe TrickBot, qui est désormais exploité sur des cibles de grande valeur. BazarBackdoor faisait autrefois partie de l'arsenal de la boîte à outils de Trickbot, mais est maintenant devenu son propre outil entièrement autonome », a expliqué Advintel. Le tout avec une capacité de résilience très forte : « La chaîne d'approvisionnement Emotet-TrickBot-Ryuk a été extrêmement résistante. Et avec une offre d'accès stable et de haute qualité provenant d'une seule source organisée, Conti a pu maintenir son image sans changements structurels majeurs. Lorsque le reste des gangs de ransomwares embauchaient massivement des affiliés aléatoires et les déléguaient pour violer les réseaux d'entreprise, Conti travaillait d'une manière basée sur la confiance et en équipe ». Et cela n'est sans doute - malheureusement - pas près de finir.
Commentaire