En est-ce fini d’Emotet ? Europol veut y croire au sortir d’une opération qui a impliqué les forces de police de huit pays dont la France.
La démarche a atteint son point culminant le 26 janvier, avec des perquisitions et des arrestations en Ukraine. C’est là que se trouvait l’épicentre supposé de ce botnet au sujet duquel le CERT-FR avait encore récemment émis une alerte.
La « famille Emotet » avait émergé en 2014. Elle comprend plusieurs variantes du trojan bancaire Feodo, lui-même proche parent de Dridex*.
Avec les années, l’attribut « cheval de Troie » est resté. Mais avec des capacités élargies allant du piratage de boîtes mail à la propagation au sein des réseaux infectés.
Emotet est aussi devenu un support de diffusion d’autres malwares. Notamment TrickBot, lui-même vecteur de propagation du ransomware Ryuk.
Les premières version d’Emotet reposaient sur un script mis en pièce jointe d’e-mails imitant des avis de paiement, des rappels de factures ou encore des notifications de suivi de colis. Les sources d’infection se sont progressivement diversifiées, en particulier à travers l’utilisation de macros dans les logiciels de la suite Office.
Pour ne pas éveiller les soupçons de ses cibles, Emotet s’immisce dans les conversations qu’elles ont eues par le passé. Capable de détecter VM et bacs à sable, il est aussi polymorphe. C’est-à-dire qu’il peut changer sa représentation pour échapper aux détections basées sur les signatures. Le registre Windows et le planificateur de tâches lui permettent d’établir une persistance sur les systèmes infectés.
L’architecture d’Emotet se constituait semble-t-il de trois groupements de serveurs (Epoch 1, 2 et 3). L’opération qu’a coordonnée Europol aurait permis d’en mettre environ 700 hors ligne.
L’activité a effectivement bien diminué, si on en croit les statistiques d’abuse.ch. Elle n’a cependant pas tout à fait cessé… en partie du fait des forces de police. À l’initiative de l’Allemagne, celles-ci ont commencé à utiliser l’infrastructure pour diffuser un module aux ordinateurs infectés. Ce module entraînera la désinstallation d’Emotet le 25 mars prochain.
D’après les estimations de la NCA, les coûts annuels de maintenance de l’infrastructure ont pu s’élever à 250 000 $. Du côté des forces de l’ordre ukrainiennes, on évalue à 2,5 milliards de dollars le montant global des dégâts.
* Dridex est aujourd’hui considéré comme inactif. On avait cru à son démantèlement en 2015 après une opération concertée du FBI et des autorités britanniques. Mais il avait refait surface, y compris en France.
Illustration principale © lolloj – shutterstock.com
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…