Que sait-on des opérateurs de Trickbot après le "name and shame" des administrations américaines et britanniques

Sept ressortissants russes viennent d’être frappés par des sanctions économiques. Ils sont soupçonnés d’être les opérateurs du très craint cheval de troie Trickbot.

Partager
Que sait-on des opérateurs de Trickbot après le

A défaut d’arrêter des hackers, faire du "name and shame" et frapper les cybercriminels au portefeuille. Voici la logique des deux communiqués des administrations américaines et du Royaume-Uni, publiés jeudi 9 février.

Ces documents visent en effet nommément sept personnes, désormais frappées par des sanctions économiques car soupçonnées d’être à la manœuvre derrière le cheval de troie Trickbot. Si l’on peut questionner l'efficacité de ces sanctions, les personnes visées vivant toutes en Russie, les informations dévoilées par les Etats-Unis et le Royaume-Uni permettent de jeter un nouveau coup de projecteur sur le gang derrière Trickbot.

Ce programme malveillant apparu en 2016, qui trouvait ses racines dans Dyre, un cheval de Troie bancaire, était devenu une sorte de couteau-suisse du cybercrime grâce à un considérable enrichissement en fonctionnalités. Ce qui avait obligé les militaires de l’US Cyber command à sortir l’artillerie lourde en visant l’infrastructure de Trickbot du malware à l’automne 2020. Le logiciel aurait drainé un total astronomique d’au moins 724 millions de dollars en cryptomonnaie, selon le spécialiste de l’analyse des flux sur la blockchain Chainalysis.

Un proche de Bogachev

Selon le communiqué américain, un russe, Vitaly Kovalev, alias “Bentley”, serait un haut responsable de cette organisation criminelle. Un suspect particulièrement intéressant. Pour un cadre de la société de renseignement Intel471, cité par le journaliste spécialisé Brian Krebs, "Bentley" aurait en effet travaillé avec Evgeniy Bogachev, l’informaticien soupçonné d’être le créateur du terrible cheval de troie GameOverZeus. Comme on vient de l’apprendre, Vitaly Kovalev est déjà sous le coup d’une enquête pénale aux Etats-Unis. Il est suspecté d’avoir volé avec plusieurs complices près d’un million de dollars après avoir piraté des comptes bancaires entre 2009 et 2010.

Ivan Vakhromeyev, alias "Mushroom", est quant à lui suspecté d’être un cadre intermédiaire de l’organisation criminelle, un "manager", sans plus de précisions. "Badget" et "Globus" – Maksim Mikhailov et Valentin Karyagin à l’état-civil – seraient eux impliqués dans le développement de programmes malveillants. Dmitry Pleshevskiy – "Iseldor" – est soupçonné d’être un spécialiste de l’injection de code malveillant dans des sites, une façon de voler des informations d’identification. Enfin, Valery Sedletski, alias "Strix", se serait spécialisé dans la gestion des serveurs tandis que Mikhail Iskritskiy – "Tropa" – aurait lui mené des tâches autour du blanchiment.

Associés au renseignement russe

Au-delà de ces sept noms et des rôles attribués à chacun, les administrations américaines et britanniques considèrent les opérateurs de Trickbot comme des “associés aux services de renseignement russes”, notamment après des attaques informatiques qui auraient ciblé le gouvernement américain et des entreprises de ce pays.

L’administration américaine estime également que le groupe Trickbot, au-delà de la simple vente d’accès initiaux compromis, est derrière de nombreuses attaques contre des hôpitaux durant la pandémie du Covid-19. De même, les autorités britanniques établissent un lien fort avec deux groupes de rançongiciels dévastateurs, Conti et Ryuk, sans toutefois préciser la nature exacte des relations.

Mais un nom brille par son absence dans l’opération de "name and shame". Il n’est ainsi pas fait état de “Stern”, désigné à la fois comme l’un des patrons du gang Conti ou comme l’administrateur de Trickbot, selon les sources. Or, comme le rappelle Chainalysis, les flux de cryptomonnaies montrent que "Stern" a envoyé des fonds à quatre des sept personnes qui viennent d’être désignées comme les opérateurs du cheval de troie. La future cible d’une nouvelle vague de sanctions financières ?

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS