Le ministère américain de la Justice (DOJ) a annoncé aujourd’hui qu’une ressortissante lettone avait été inculpée pour son rôle présumé de développeur de logiciels malveillants au sein de l’organisation transnationale de lutte contre la cybercriminalité Trickbot.

Alla Witte (alias Max) a été inculpée de 19 chefs d’accusation sur 47 chefs d’accusation après avoir été arrêtée le 6 février à Miami, en Floride.

En tant que développeur de logiciels malveillants Trickbot, Witte a écrit le code utilisé par le logiciel malveillant pour contrôler, déployer et gérer les paiements de ransomware, a déclaré le DOJ dans un communiqué de presse publié aujourd’hui.

Witte aurait également fourni au groupe Trickbot le code nécessaire pour surveiller et suivre les utilisateurs autorisés de logiciels malveillants et développé les outils et les protocoles nécessaires pour stocker les identifiants de connexion volés sur les réseaux des victimes.

L’affaire a fait l’objet d’une enquête par le bureau de Cleveland du FBI et le groupe de travail sur les ransomwares et l’extorsion numérique du DOJ, créé pour lutter contre le nombre croissant d’attaques de ransomware et d’extorsion numérique.

« Witte et ses associés sont accusés d’avoir infecté des dizaines de millions d’ordinateurs dans le monde, dans le but de voler des informations financières pour finalement siphonner des millions de dollars via des systèmes informatiques compromis », a déclaré l’agent spécial du FBI Eric B. Smith.

Le malware Trickbot

Trickbot est une souche de malware repérée pour la première fois en octobre 2016 en tant que cheval de Troie bancaire modulaire qui a été continuellement mis à niveau avec de nouveaux modules et fonctionnalités depuis lors.

Même s’il n’était initialement utilisé que pour collecter des données sensibles, Trickbot a lentement évolué pour devenir un compte-gouttes de logiciels malveillants très dangereux utilisé pour fournir des charges utiles de logiciels malveillants supplémentaires, généralement beaucoup plus dangereuses, sur les appareils infectés.

Cela se produit régulièrement après que toutes les informations sensibles (informations système, informations d’identification et tous les fichiers intéressants) ont été collectées et exfiltrées vers des serveurs contrôlés par des attaquants.

Le 12 octobre, Microsoft et plusieurs partenaires ont annoncé qu’ils avaient supprimé certains Trickbot C2. Le Cyber ​​Command américain a également…