Les autorités avaient frappé fort, ça n’a pas suffi. Des éléments montrent que le botnet Emotet a repris son activité. Ce logiciel malveillant — il permet de créer un réseau de machines infectées dont les pirates peuvent prendre le contrôle pour mener des attaques — était considéré comme le plus dangereux du monde avant son démantèlement par Europol et une action conjointe de 8 pays en janvier 2021. Mais de nouvelles traces d’infection par Emotet, vraisemblablement aidé par un autre groupe cybercriminel, laissent penser que le malware est de retour.
Une action de police avait stoppé l’activité d’Emotet
L’opération de police réalisée en début d’année était pourtant considérée comme un succès : le groupe cybercriminel avait perdu l’accès à ses infrastructures, c’est à dire les serveurs qui permettaient aux pirates de contrôler toutes les machines infectées. Machines qui étaient elles mêmes utilisées pour réaliser des attaques de grande ampleur. Les forces de l’ordre avaient même propagé un script pour désinstaller massivement ces malwares, présents dans des millions d’ordinateurs.
Emotet a pendant longtemps été présenté comme le malware le plus dangereux du monde // Source : Montage Numerama
Mais il n’est pas facile d’achever un tel monstre. Déjà au moment du démantèlement, de nombreux experts doutaient de la disparition définitive d’Emotet. Même le communiqué de presse d’Europol, qui vantait la réussite de l’opération, préférait parler de « perturbation » des activités du groupe.
Un retour après 10 mois d’accalmie
Après 10 mois de calme, le chercheur en cybersécurité Luca Ebach explique avoir observé qu’un autre Botnet, TrickBot, aidait le groupe Emotet à se reconstruire. Très simplement, le premier groupe ajouterait le logiciel malveillant du deuxième à des machines déjà infectées. Est-on sûr qu’il s’agit bien du groupe Emotet ? Le chercheur résume ses conclusions en ces mots : « ça sent comme Emotet, ça ressemble à Emotet, ça agit comme Emotet – il semble que ce soit Emotet. »
Comme le relève le groupe de chercheurs en cybersécurité Cryptolaemus interrogé par le média anglophone The Record, le fait d’utiliser Trickbot comme vecteur d’infection n’est pas nouveau pour Emotet, et pourrait être un moyen de se refaire. Un signe supplémentaire, repéré par Brad Duncan dans un billet pour l’Internet Group Center, est la reprise au moins partielle des campagnes d’infection par mail. Une pratique qui est le mode traditionnel d’attaque du groupe. Il est encore trop tôt pour dire si le groupe est de retour. Mais une chose est certaine, Emotet n’est pas encore éradiqué.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
