Alerte botnet : Emotet refait surface en Europe

0
100

Après 3 mois et demi d’absence, le botnet Emotet fait son retour dans le paysage de la menace.

Sherrod DeGrippo, Directrice Senior  en charge de la recherche de menaces et de la détection au sein de Proofpoint commente :

Découvert pour la première fois en 2014, Emotet refait surface après une apparente pause estivale. Ce botnet a été repéré le 16 septembre dans une campagne qui impliquait des centaines de milliers d’emails visant principalement des organisations en Autriche, en Suisse, en Allemagne, en Espagne, au Royaume-Uni, en Italie, en Pologne et aux Etats-Unis. Cette attaque est notable et nécessite une vigilance de toutes les organisations car Emotet est l’une des menaces les plus virulentes de 2018 et du début de cette année. Même si les leurres utilisés ne sont généralement pas sophistiqués, ils sont localisés et géographiquement ciblés.

Identifié à l’origine comme un cheval de Troie bancaire, Emotet a évolué et récemment changé de classification, mettant en évidence la rapidité avec laquelle les cybercriminels adaptent leurs outils et techniques pour continuer à atteindre leurs cibles. Dans sa version la plus récente, ce botnet a été utilisé pour télécharger d’autres malware et diffuser des emails frauduleux permettant de lancer d’autres attaques et de voler des identifiants.

Nous observons fréquemment les acteurs de la menace faire des pauses pour ajuster leurs pièges, ou juste prendre des vacances. Mais les pauses ne sont généralement pas si longues, surtout pour une menace de cette envergure. Nous avons surveillé l’évolution du trafic et vu que les attaques allaient reprendre.  Nous allons poursuivre cette surveillance pour identifier toute évolution de la menace.  

Autre fait marquant de cette nouvelle attaque, sa présence auprès de nos voisins espagnols et italiens, deux pays déjà particulièrement visés par les précédentes vagues d’attaques d’Emotet. Les emails de cette nouvelle campagne contenaient soit des documents Microsoft Word en pièce-jointe, soit des URLs dirigeant vers des documents Word. Ces documents eux-mêmes contenaient des macros qui téléchargeaient et installaient Emotet si les victimes cliquaient dessus. »