Les forces de l'ordre européennes ont annoncé le démantèlement du malware Emotet en janvier, mais il semblerait que ce dernier soit de retour pour menacer des millions d’utilisateurs à travers le monde. Alors comment vaincre celui qui est considéré comme le malware le plus dangereux sur Internet ? Dans cet article, nous allons explorer les différentes façons dont les entreprises et les utilisateurs peuvent protéger leurs données et appareils contre ce logiciel malveillant redoutable.
L'histoire d'Emotet : du virus le plus dangereux au monde à son démantèlement
Depuis 2014, Emotet a infecté des centaines de milliers d'ordinateurs à travers le monde. Il s’agit d’un malware/virus/maliciel/cheval de Troie qui s’est avéré être une vraie menace pour la cybersécurité. En effet, Emotet était capable d’installer d'autres logiciels malveillants sur les ordinateurs infectés et était principalement utilisé pour des attaques bancaires et autres cybercrimes.
Comme le malware se propageait rapidement et avec une grande variété de techniques, il est vite devenu l’une des principales menaces informatiques et est considérée comme le malware le plus dangereux. La propagation rapide et virale du malware s’explique par sa capacité à comprendre les réseaux internes et externes des organisations, ce qui permet à Emotet de passer facilement du serveur aux postes de travail. De plus, il a la capacité de communiquer avec les commandes et contrôles (C&C) distantes ou encore exfiltrer des données sensibles.
Emotet, le malware le plus dangereux du monde
Les cyber-criminels ont choisi Emotet en raison de sa flexibilité, c'est-à-dire qu'il peut être personnalisé pour produire presque tous types d'attaques possibles. Selon les chercheurs en sécurité informatique, il peut être livré via des pièces jointes malveillantes, liens Web malveillants contenus dans un e-mail ou tout autre type de vecteur d'attaque. Une fois installé sur un appareil, Emotet peut infecter rapidement un réseau entier avec son programme malveillant, car il dispose également d'une capacité « transversale » qui lui permet d'accéder à tous les réseaux sur lesquels l'ordinateur est connecté - y compris les réseaux publics ou privés.
Les attaques bancaires et autres cybercrimes liés à Emotet
Une fois installée sur un appareil ou un système informatique, Emotet commence immédiatement à envoyer des spams massifs afin de trouver et infecter davantage d'ordinateurs. Parallèlement à cela, elle recherche activement des informations sensibles stockées sur l'ordinateur (comptes bancaires, cartes de crédit etc. Dans certains cas, elle peut également installer des « bots », qui sont des zombies informatiques contrôlés à distance par les cybercriminels et utilisés pour des attaques DDoS. En outre, elle peut également fournir un accès à distance à l'ordinateur infecté et partager les informations de l'ordinateur avec d'autres criminels.
Le fonctionnement d'Emotet et sa capacité à infecter d'autres logiciels malveillants
Une fois installé, Emotet se connecte en arrière-plan à une ou plusieurs sessions de commande et contrôles (C&C). Il peut alors envoyer des requêtes spéciales à ces C&C afin de faire passer le malware à une autre machine sur le réseau local. En outre, il donne aux cybercriminels la possibilité d’installer des logiciels malveillants supplémentaires, tels que ransomware, chevaux de Troie, etc., qui sont ensuite exploités pour effectuer divers types de vols et d’autres activités frauduleuses.
Le démantèlement d'Emotet en janvier 2021 : une victoire pour la cybersécurité ?
En janvier 2021, Europol a annoncé avoir mené l’une des plus grandes opérations jamais menée contre le malware Emotet. La police européenne a collaboré avec les forces de l’ordre nationales et internationales pour identifier et traquer les cybercriminels derrière le virus. Les enquêteurs ont également mis hors service plusieurs serveurs C&C liés à Emotet et ont supprimé plusieurs milliers de domaines associés au programme malveillant.
Les détails de l'opération menée par Europol et les autorités internationales
Selon Europol, l’opération visait à « neutraliser » le botnet actif pour arrêter la propagation du logiciel malveillant. Pendant ce temps, des agents internationaux sont entrés simultanément dans les centres de données hébergeant certains des principaux serveurs C&C impliqués dans l'attaque afin de neutraliser les autres serveurs. Les hackers liés au groupe Emotet ont été identifiés grâce à une coopération entre le commencement européen pour la criminalité informatique (EC3) – division d’Europol – et ses partenaires nationaux.
Les conséquences du démantèlement d'Emotet pour les victimes et les cybercriminels
Le démantèlement d’Emotet signifie que la menace est temporairement écartée et que tous ceux qui ont été touchés par le virus peuvent redevenir virtuellement « propres ». Cependant, pour les victimes qui ont subi des pertes en raison du malware ou des logiciels malveillants installés par le virus, il est difficile de récupérer leurs données et de pouvoir se remettre entièrement à l'abri du danger.
Les critiques contre le démantèlement d'Emotet et les risques de son retour
Même si cette opération a eu des résultats positifs sur le court terme, certains experts craignent que ce ne soit qu'une victoire temporaire pour la cybersécurité. En effet, certains soulignent que le démantèlement d’Emotet ne réglera pas la menace globale, car il peut être facilement remplacé par une nouvelle version plus dangereuse et plus difficile à neutraliser.
De plus, certaines personnes s’inquiètent que le démantèlement aura un impact négatif sur la cybersécurité en raison de la perte de contrôle des autorités sur le botnet.
Emotet de retour sur la scène : quelles sont les mesures de sécurité à prendre ?
Malgré le démantèlement d’Emotet, des rapports récents laissent entendre que le malware est en train de faire son retour. Selon les chercheurs en sécurité informatique, les cybercriminels essaient activement de réinstaller Emotet afin d’accroître leurs activités frauduleuses et criminelles.
Les attaques récentes visent principalement les entreprises avec une campagne massive de spams visant à infecter les ordinateurs avec Emotet.
Les signes de la résurgence d'Emotet et les nouvelles attaques constatées
Le groupe derrière Emotet semble avoir modifié ses moyens d’attaque depuis sa chute à l'automne 2020 et semble maintenant se concentrer sur l’envoi massif de courriels malveillants contenant du code malicieux qui redirige vers des URL infectées par Emotet. Ces emails comportent souvent un lien vers un fichier exécutable qui contient le malware lui-même ou un document Word qui télécharge automatiquement le logiciel malveillant une fois ouvert.