Actualités de la sécurité

Les autorités de huit pays sont parvenus à prendre le contrôle d’Emotet

Christopher Budd 29 janv. 2021 14:12:37

Les forces de l'ordre prennent le contrôle du botnet de cybercriminels Emotet.

Hier, les forces de l'ordre du monde entier ont réussi à démanteler le réseau de cybercriminels Emotet. Ils ont également pris de nouvelles mesures sans précédent pour aider les éventuelles victimes d'Emotet. Nous espérons que ces mesures permettront de mettre un terme à l'histoire de l'un des groupes d'attaque les plus prolifiques qui soient.
Dans le cadre de l'une des opérations de démantèlement les plus importantes et les plus efficaces jamais menées à l'échelle mondiale, les services de police d'Allemagne, du Canada, des États-Unis, de France, de Lituanie, des Pays-Bas, du Royaume-Uni et d'Ukraine, coordonnés par Europol et Eurojust, ont pris le contrôle des serveurs d'Emotet. Ils ont ainsi pris le contrôle du réseau de cybercriminels, ce qui leur a également permis d'obtenir les données que le groupe Emotet a compilées sur leurs victimes.

Pour aider ceux qui ont été touchés par l'Emotet, les forces de l'ordre utilisent au maximum le contrôle qu'elles ont récemment acquis sur l'infrastructure et les données de l'Emotet.
Tout d'abord, la police néerlandaise déclare (via Google Translate) : "Une mise à jour logicielle est placée sur les serveurs centraux néerlandais pour tous les systèmes informatiques infectés. Tous les systèmes informatiques infectés y récupéreront automatiquement la mise à jour, après quoi l'infection Emotet sera mise en quarantaine". On espère ainsi éliminer tout logiciel malveillant que le groupe Emotet possède sur les ordinateurs infectés.

Deuxièmement, la police néerlandaise dispose d'une page d'inscription où vous pouvez entrer votre adresse électronique et la police néerlandaise vous informera si votre adresse électronique est présente dans les données qui ont été saisies. Ces informations peuvent vous aider à savoir si vous êtes ou avez été infecté par le groupe Emotet.

Il s'agit dans les deux cas de nouvelles mesures visant à aider les victimes de botnets et à faciliter le rétablissement des personnes infectées et à leur permettre de savoir si elles sont des victimes.

map_fr


Un peu d'histoire du groupe Emotet


Emotet est devenu l'un des botnets les plus connus en raison de sa longévité et de sa capacité d'adaptation. Emotet a commencé comme un cheval de Troie bancaire en 2014 sous le contrôle d'un groupe connu sous le nom de TA542, Mealybug et MUMMY SPIDER.

Au fil du temps, le groupe a changé de logiciels malveillants et de tactiques et est également devenu plus connu sous le nom de son premier logiciel malveillant : Emotet. L'une des choses qui ont rendu le groupe Emotet si remarquable est la façon dont il a professionnalisé son activité illégale.

En 2017, le groupe Emotet est passé du vol de données en vrac à la vente de ses services à d'autres, un pas dans la direction de la professionnalisation qui rappelle l'observation de Bill Gates sur la ruée vers l'or sur Internet lorsqu'il a dit que "les personnes qui vendent des casseroles aux prospecteurs font souvent mieux que les prospecteurs eux-mêmes".

En 2018, le groupe Emotet a considérablement augmenté sa capacité à livrer du spam. En septembre, il a livré plus d'un demi-million de messages de spam en une seule journée. En octobre, ils ont plus que doublé cette capacité pour délivrer plus d'un million de messages de spam en une journée.

Le groupe Emotet a également démontré son professionnalisme par sa capacité d'adaptation. Non seulement ils ont changé leur modèle d'entreprise, mais ils ont également modifié leur charge utile, leurs méthodes de distribution et, surtout, leurs appâts. Par exemple, en 2020, le groupe Emotet a utilisé de manière agressive les leurres du Covid-19 pour exploiter les craintes mondiales liées à la pandémie.

Aujourd'hui, le réseau de cybercriminels que le groupe Emotet a mis en place a été confié aux forces de l'ordre. Comme nous l'avons vu, les forces de l'ordre utilisent déjà leur contrôle pour aider les victimes. Cela signifie probablement que le botnet Emotet tel que nous le connaissons a disparu.

Toutefois, une chose qui est remarquable dans les actions d'aujourd'hui est la nature des informations concernant les accusations ou les arrestations. Pour l'instant, il n'y a aucune mention significative de l'un ou l'autre, ce qui indique que l'action des services répressifs n'a probablement donné des résultats jusqu'à présent que sur les outils des attaquants, et non sur les attaquants eux-mêmes. Cela pourrait signifier que le groupe Emotet pourrait essayer de se regrouper et de se reconstruire. Même sans leur botnet à leur disposition, ils pourraient bien avoir d'autres copies de leurs données, qu'ils pourraient utiliser pour essayer de commencer à construire un nouveau botnet. Nous avons constaté un degré élevé d'adaptabilité de ce groupe, ce qui fait que les chances qu'il tente de se regrouper et de se reconstruire sont plus grandes qu'avec d'autres groupes démantelés dans le passé.

Pour l'instant, cependant, la chose la plus importante que chacun puisse faire est de vérifier si vos informations se trouvent dans les données des groupes Emotet en se rendant sur le site web de la police néerlandaise et en utilisant des produits de protection (comme les outils antivirus d'Avast) qui peuvent protéger contre Emotet et être les mieux placés pour aider à protéger contre toute tentative de retour du groupe Emotet.