L'une des menaces cyber les plus malicieuses et adaptables, Emotet, vient d’être neutralisée par les différentes forces de police de huit pays, dont la France. Coordonnés par Europol et Eurojust, les agents sont parvenus à prendre le contrôle de l’infrastructure même du réseau pour le rendre inoffensif.
au sommaire
Il s'appelle Emotet et il était sur le podium des codes malveillants les plus répandus en décembre 2020. Aujourd'hui, il n'est plus une menace... du moins pour le moment. Pilotés par Europol et Eurojust (European Union Agency for Criminal Justice Cooperation), les agents de huit pays se sont coordonnés afin de prendre le contrôle de l'infrastructure d'Emotet. Un coup de maître, étant donné qu'elle était répartie sur des centaines de serveurs. Ces derniers avaient des missions différentes et n'en récupérer que certains isolément n'aurait pas pour autant limité la capacité d'action d'Emotet. Il fallait tous les neutraliser, d'où la nécessité de coordonner les forces de plusieurs pays. Après avoir pris le contrôle de l'infrastructure, les autorités ont pu désactiver le réseau de botnets constitué par les ordinateurs infectés.
C'est grâce à son gigantesque réseau de botnets qu'Emotet se répandait via des campagnes massives de phishing (hameçonnagehameçonnage) par e-mail. Les messages intégraient un lien ou des pièces jointes piégées. Il s'agissait de fausses factures, d'avis d'expédition ou de réceptionréception de colis, ou encore des informations liées à la crise sanitairecrise sanitaire actuelle.
Le plus coriace des malwares, démantelé
Une fois la charge viralecharge virale activée, Emotet débarquait sur l'ordinateur infecté. S'il s'agissait d'un élément d'un réseau d'une organisation, il permettait alors aux pirates d'ouvrir les portesportes de ce réseau à d'autres groupes de cybercriminels plus puissants. Il était alors le principal point de départ du déploiement de nombreux autres chevaux de Troiechevaux de Troie bancaires ou de ransomware.
Le cheval de Troie Emotet touchait jusqu'à hier 7 % des organisations dans le monde. Propulsé par le groupe de hackers connu sous l'appellation TA542, Emotet sévissait depuis 2014 et revenait régulièrement en tête des plus grandes menaces cyber, puis était souvent affaibli par l'amélioration des systèmes de sécurité. Mais, durant les fêtes de fin d'année, il était revenu en force après une mise à jour lui permettant de mieux contrer les systèmes de détection.
Pour le moment, si le réseau semble neutralisé grâce à la prise de contrôle de son infrastructure, il est difficile de savoir si cela va durer. Les membres de TA542 pourraient bien trouver des parades, mais il aussi est possible qu'ils soient repérés et appréhendés en partie par les forces de l'ordre dans une autre opération coordonnée. Dans tous les cas, il est difficile d'imaginer qu'Emotet retrouve sa puissance passée.
