Emotet semblait hors d’état de nuire après son démantèlement par les autorités en janvier 2021. Mais plusieurs signes montrent que le groupe a repris ses attaques.

Les autorités avaient frappé fort, ça n’a pas suffi. Des éléments montrent que le botnet Emotet a repris son activité. Ce logiciel malveillant — il permet de créer un réseau de machines infectées dont les pirates peuvent prendre le contrôle pour mener des attaques — était considéré comme le plus dangereux du monde avant son démantèlement par Europol et une action conjointe de 8 pays en janvier 2021. Mais de nouvelles traces d’infection par Emotet, vraisemblablement aidé par un autre groupe cybercriminel, laissent penser que le malware est de retour.

Une action de police avait stoppé l’activité d’Emotet

L’opération de police réalisée en début d’année était pourtant considérée comme un succès : le groupe cybercriminel avait perdu l’accès à ses infrastructures, c’est à dire les serveurs qui permettaient aux pirates de contrôler toutes les machines infectées. Machines qui étaient elles mêmes utilisées pour réaliser des attaques de grande ampleur. Les forces de l’ordre avaient même propagé un script pour désinstaller massivement ces malwares, présents dans des millions d’ordinateurs.

Image d'erreur

Emotet a pendant longtemps été présenté comme le malware le plus dangereux du monde // Source : Montage Numerama

Mais il n’est pas facile d’achever un tel monstre. Déjà au moment du démantèlement, de nombreux experts doutaient de la disparition définitive d’Emotet. Même le communiqué de presse d’Europol, qui vantait la réussite de l’opération, préférait parler de « perturbation » des activités du groupe.

Un retour après 10 mois d’accalmie

Après 10 mois de calme, le chercheur en cybersécurité Luca Ebach explique avoir observé qu’un autre Botnet, TrickBot, aidait le groupe Emotet à se reconstruire. Très simplement, le premier groupe ajouterait le logiciel malveillant du deuxième à des machines déjà infectées. Est-on sûr qu’il s’agit bien du groupe Emotet ? Le chercheur résume ses conclusions en ces mots : « ça sent comme Emotet, ça ressemble à Emotet, ça agit comme Emotet – il semble que ce soit Emotet. »

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Comme le relève le groupe de chercheurs en cybersécurité Cryptolaemus interrogé par le média anglophone The Record, le fait d’utiliser Trickbot comme vecteur d’infection n’est pas nouveau pour Emotet, et pourrait être un moyen de se refaire. Un signe supplémentaire, repéré par Brad Duncan dans un billet pour l’Internet Group Center, est la reprise au moins partielle des campagnes d’infection par mail. Une pratique qui est le mode traditionnel d’attaque du groupe. Il est encore trop tôt pour dire si le groupe est de retour. Mais une chose est certaine, Emotet n’est pas encore éradiqué.

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !