Lors d'une opération internationale d'autorités policières et judiciaires, le botnet Emotet a été démantelé. L'annonce a été faite hier par Europol et Eurojust qui ont coordonné cette opération d'ampleur pour mettre à mal l'infrastructure de l'une des plus grosses menaces en matière de cybercriminalité.
De nombreux serveurs de commande et contrôle ont été saisis et les autorités ont ainsi pris la main sur l'infrastructure d'Emotet. Les machines infectées des victimes ont été redirigées vers cette infrastructure sous le contrôle des forces de l'ordre.
La police néerlandaise a mis au jour une base de données avec des adresses email et identifiants dérobés par Emotet. Via un formulaire en ligne, il est possible de vérifier si une adresse a été compromise.
Un module de désinstallation pour Emotet
ZDNet rapporte que les autorités néerlandaises ont établi que deux des trois principaux serveurs de commande et contrôle d'Emotet étaient aux Pays-Bas. Elles ont utilisé leur accès à ces deux serveurs pour déployer une mise à jour piégée d'Emotet auprès de tous les hôtes infectés.
All Emotet epochs now are delivering the payload (https://t.co/Tv21VmJm4s) which has the code to remove Emotet on 25 March 2021 12:00. I believe that #Emotet #Killed pic.twitter.com/FnrdqZmQcd
— milkream (@milkr3am) January 27, 2021
Cette mise à jour contient une bombe logique pour un déclenchement programmé le 25 mars 2021 à 12 heures (en fonction de la date locale du système), avec un code pour la désinstallation du malware Emotet.
Une telle opération cavalière pourrait laisser dans l'ignorance des victimes sur le fait qu'elles ont été infectées par Emotet. Or, la présence d'Emotet est aussi un signal pour pousser à la vigilance et des investigations à la découverte d'autres compromissions.
