D’un simple cheval de Troie bancaire à un botnet en passant par une infrastructure de diffusion de contenu, le malware Emotet a bien évolué au fil des années et réapparaît malgré son démantèlement en janvier 2021 par des autorités internationales (États-Unis, Pays-Bas, Royaume-Uni, France, Ukraine, Lituanie et Canada).
Tribune – Depuis sa première identification en 2014, différentes versions d’Emotet sont apparues. Emotet se propage principalement par des malspams (e-mails de spams) à partir d’un fichier JavaScript malveillant, mais emploie désormais d’autres moyens. En effet, il utilise dorénavant des documents qui prennent en charge les macros afin qu’ils récupèrent la charge utile du virus à partir de serveurs de contrôle et commande (C&C) exécutés par les cybercriminels.
Dans ce contexte, voici le commentaire de Laurent Rousseau, Solutions Architect Manager France, chez Infoblox, leader des services de réseau et de sécurité cloud-first :
Malgré un effort énorme de coordination internationale des forces de l’ordre (États-Unis, Pays-Bas, Royaume-Uni, France, Ukraine, Lituanie et Canada) qui ont éteint EMOTET en Janvier 2021, ce malware est réapparu après 11 mois d’inactivité, et Infoblox observe actuellement une augmentation significative des tentatives d’infection EMOTET via des campagnes de spams.
Le mode opératoire des attaquants a changé, anciennement l’infrastructure était détenue par les attaquants ce qui a permis aux forces de l’ordre de les identifier et de les arrêter. Désormais ils s’appuient sur des sites légitimes ce qui rend leur réseau et infrastructure beaucoup plus difficile à détecter et à stopper. Il est par ailleurs notable que la France fasse désormais partie des pays privilégiés pour l’hébergement des serveurs de Commande & Contrôle des botnets Emotet.
Emotet se diffuse principalement par mail, avec des fichiers attachés, en majorité au format Excel avec des Macros XML. Ces macros, même si Microsoft a recommandé leur désactivation début 2022, sont toujours une menace avérée, car beaucoup d’organisations ne mettent pas à jour régulièrement les applicatifs MS Office, et, car dans tous les cas l’utilisation de ces macros reste configurable par l’utilisateur.
Pour plus de détails sur les découvertes et l’analyse des équipes Threat Intelligence d’Infoblox sur le nouveau phénomène EMOTET, vous pouvez consulter cet article.