Les policiers ont programmé l’autodestruction du malware Emotet

Tic, toc, tic , toc… les jours d’Emotet sont comptés. Mercredi 27 janvier, une coalition de forces de l’ordre menée par Europol a saisi les infrastructures informatiques liées au logiciel malveillant tant redouté. Plus précisément, elle a mis la main sur les serveurs de commande et contrôle (C&C) de l’organisation criminelle.

Ces machines servaient à coordonner les actions du botnet, un ensemble de milliers de machines infectées par Emotet, que les malfaiteurs utilisaient pour lancer des attaques massives. Une fois qu’un appareil était infecté, il signalait au serveur C&C qu’il était disponible, à la recherche de nouvelles instructions.

D’après ZDNet, la police néerlandaise a remplacé deux des trois principaux serveurs de commande et contrôle (C&C) de l’organisation criminelle par des serveurs en sa possession. Le Bleeping Computer relève que la police fédérale allemande (la Bundeskriminalamt ou BKA) a fait de même de son côté de la frontière. Désormais, les appareils compromis par Emotet entrent en contact non plus avec l’infrastructure des cybercriminels, mais avec celle des autorités. Elles peuvent ainsi collecter des preuves contre les malfaiteurs et dresser un inventaire plus précis de la taille du botnet et de son nombre de victimes. Et dans le même temps, Emotet ne peut pas être exploité à des fins malveillantes.

Les policiers ont touché Emotet à sa tête, mais pourront-ils s’en débarrasser vraiment ? // Source : Louise Audry pour Numerama

Les forces de l’ordre ont donc pris le contrôle de la tête du botnet, mais elles ne l’ont pas encore supprimé, le temps de pousser leur travail d’enquête. En revanche, elles ont déjà prévu un grand nettoyage. À l’aide des canaux de communication auparavant employés par les cybercriminels, les policiers ont déployé une mise à jour piégée d’Emotet : ils ont placé dans les fichiers un morceau de code destiné à la désinstallation du malware. Une sorte de bouton d’autodestruction, soumis à un compte à rebours. Repéré par plusieurs entreprises de cybersécurité, dont MalwareBytes, le module se déclencherait le 25 avril 2021 à midi. Après cette date, les appareils infectés pour le malware en seront débarrassés.

La fin d’Emotet (ou pas)

Cette date marquera-t-elle la fin d’Emotet ? Les actions menées contre TrickBot en novembre 2020 ont à nouveau rappelé à quel point il était difficile de faire disparaître un botnet. Bien qu’une alliance menée par Microsoft avait mis hors d’état de nuire la quasi-totalité de ses serveurs C&C, TrickBot était de nouveau opérationnel quelques semaines plus tard. L’opération n’a pour autant pas été inutile : elle a diminué les capacités de TrickBot, arrêté temporairement son activité et fragilisé la confiance de ses partenaires. Mais elle n’est pas parvenue à le faire disparaître. Dans le cas d’Emotet, le déploiement du module de suppression peut donner des espoirs supplémentaires. Sans serveur de commande et sans machine infectée, le gang Emotet n’aurait presque aucune base pour se reconstruire.

Par effet domino, la chute d’Emotet — qu’elle soit provisoire ou non — va endommager l’activité d’autres organisations de cybercriminels. Et pour cause : Emotet s’était spécialisée dans la vente d’accès aux réseaux de ses victimes. Des associations de malfaiteurs les achetaient pour déployer à leur tour leur propre malware. Ces dernières années, les gangs TrickBot et Qbot ont ainsi régulièrement employé les canaux ouverts par Emotet, avec pour objectif final d’eux-mêmes ouvrir la porte à des rançongiciels comme ceux de Ryuk ou Egregor. Autrement dit, pour une victime, Emotet était le plus souvent le premier symptôme inquiétant d’une attaque encore plus grave. Et sans lui, les autres organisations criminelles vont devoir repenser leurs méthodes d’infection.