Pour la première fois observé en 2014 en tant que cheval de Troie bancaire, le malware Emotet a évolué au fil des années jusqu'à une infrastructure modulaire en tant que service pour distribuer des charges utiles malveillantes sous diverses formes ; ransomware compris.

À plusieurs reprises l'année dernière, Emotet a marqué des périodes de sommeil mais s'est à chaque fois réveillé pour frapper toujours aussi fort via des campagnes d'emails malveillants, avec par exemple des documents Word piégés. Une macro permettait l'exécution de la charge utile, puis une communication avec des serveurs de commande et contrôle.

L'Agence nationale de la sécurité des systèmes d'information (Anssi) avait aussi tiré la sonnette d'alarme pour une recrudescence d'activité Emotet en France, avec un ciblage d'entreprises et administrations. Encore des campagnes de phishing et une technique de détournement des fils de discussion des emails.

emotet-europol

Une infrastructure démantelée avec des serveurs saisis

L'infrastructure de ce botnet considéré comme l'un des plus dangereux au monde en matière de cybercriminalité vient d'être démantelée dans le cadre d'une opération internationale coordonnée par Europol et Eurojust. Les autorités en Allemagne, France, Lituanie, Pays-Bas, Royaume-Uni, Ukraine ainsi qu'au Canada et aux États-Unis ont été impliquées.

Europol évoque plusieurs centaines de serveurs dans le monde pour notamment gérer les machines infectées et en infecter d'autres. Il est souligné un botnet polymorphe, avec la capacité pour le malware de modifier son code afin de complexifier sa détection par des solutions antivirus et pour permettre un début d'infection.

" Les machines infectées des victimes (ndlr : qui étaient proposées à la location pour des cybercriminels et l'installation d'autres malwares) ont été redirigées vers l'infrastructure contrôlée par les forces de l'ordre. " Europol ajoute que dans le cadre de l'enquête, une base de données avec des adresses email et identifiants dérobés par Emotet a été découverte par la police néerlandaise. Elle peut être interrogée ici pour vérifier si une adresse a été compromise.

Dans sa communication, Europol ne fait pas mention d'arrestations de suspects. Le temps viendra sans doute… en espérant que le botnet Emotet ne soit pas en mesure de faire un retour surprise.