Le 12 octobre, Microsoft a mené une opération visant à démanteler Trickbot en vertu d’une décision de justice, accordée à l’approche de l’élection présidentielle américaine prévue le 3 novembre, où les ransomwares constituent une préoccupation majeure.

Entre autres motifs d’allégation au cours de l’affaire, Microsoft a inclus le droit d’auteur contre l’utilisation malveillante de son logiciel par Trickbot, créant ainsi un précédent qui pourrait accélérer les actions futures. Microsoft et d’autres entreprises, dont ESET, Black Louts Labs de Lumen, NTT Ltd. et Symantec, ont reçu l’autorisation de désactiver les adresses IP utilisées par les serveurs C&C, de perturber l’accès au contenu stocké sur les serveurs concernés, de suspendre les services aux opérateurs du botnet et de bloquer toute tentative des opérateurs de Trickbot d’acheter ou de louer de nouveaux serveurs.

Trickbot se caractérise par un logiciel malveillant modulaire composé généralement d’un module d’encapsulation, d’un chargeur et d’un module principal. Il permet l’utilisation de différents modules/plugins qui sont étendus dans les versions successives pour améliorer les fonctionnalités. L’enveloppe est utilisée pour échapper aux techniques de détection en exécutant le chargeur en mémoire, ce qui prépare l’ordinateur à l’exécution du logiciel malveillant principal. Les modules Trickbot permettent, entre autres fonctions, d’obtenir des informations sur le système et le réseau de l’ordinateur compromis, de voler des données et des informations d’identification, d’exécuter des commandes et de se propager à d’autres réseaux. En outre, les opérateurs de Trickbot peuvent installer des outils supplémentaires tels que Cobalt Strike, et utiliser PowerShell Empire, PSExec et AdFind pour installer d’autres logiciels malveillants sur l’ordinateur, tels que le célèbre ransomware Ryuk, qui a fait de nombreuses victimes parmi les centres de recherche médicale, les hôpitaux et les universités.

L’un des plus anciens plugins utilisés par Trickbot est le web inject, qui permet au malware de modifier dynamiquement le site Web visité par l’ordinateur compromis. Pour fonctionner, ce plugin utilise des fichiers de configuration spécifiques à un ensemble de sites web, la plupart des fichiers identifiés ciblant des institutions financières selon le rapport publié par ESET, qui établit également un lien entre ce fonctionnement et la flexibilité offerte par Trickbot et le ransomware.

D’autre part, le rapport publié par Microsoft met en évidence de multiples campagnes Trickbot simultanées identifiées au cours du mois de juin, où la complexité de l’utilisation des techniques renforce la conviction qu’elle est utilisée par des groupes organisés. C’est précisément le résultat de ces recherches, ainsi que les craintes que le ransomware n’entache l’élection présidentielle de novembre, qui ont incité à prendre des mesures pour neutraliser le logiciel malveillant.