Moins d’un an après que l’agence Europol a annoncé son démantèlement, le malware Emotet refait surface avec une capacité de nuisance renforcée. Il intègre notamment un système de chiffrement HTTPS pour faciliter le trafic entre le malware et les serveurs de contrôle. De quoi susciter des inquiétudes chez les entreprises et les administrations.
Particulièrement actif à l’automne 2020
Le 27 janvier 2021, Europol avait annoncé le démantèlement du logiciel malveillant Emotet, considéré comme le plus dangereux du monde. Une bonne nouvelle après un automne 2020 marqué par une recrudescence d’activité de ce botnet. Ce terme désigne un malware capable d’infecter des milliers de machines à partir d’un même centre de commande. Il permet par exemple de lancer des opérations massives comme des envois de phishings (courriels piégés) ou des attaques par déni de service ou DoS. Celui-ci consiste à mettre un serveur hors service en surchargeant un site de trafic Internet.
Le botnet Emotet pouvait ainsi voler toutes sortes d’informations sur les ordinateurs de ses victimes. Ses concepteurs sévissaient depuis plusieurs mois contre les entreprises et les administrations quand Europol a lancé son opération. L’agence européenne de police criminelle avait saisi les centaines d’ordinateurs qui servaient de centres de commande au botnet, afin de démonter le réseau de l’intérieur. Elle avait ensuite désinfecté tous les appareils et désinstallé le malware. Toutefois, Europol n’avait pas réussi à mettre le grappin sur les patrons de l’organisation. Ces derniers pouvaient donc à nouveau frapper.
Un retour via Trickbot
Et c’est ce qui s’est produit. En effet, depuis quelques jours, divers experts en cybersécurité ont relevé un regain d’activité d’Emotet. L’alerte a été donnée par Cryptolaemus, un groupe de chercheurs en sécurité spécialisé dans la lutte contre ce logiciel malveillant. GData et Advanced Intel ont ensuite confirmé cette information et donné des détails. Selon ces experts en cybersécurité, la nouvelle version du malware s’est propagée à partir de machines précédemment infectées par Trickbot, un autre logiciel malveillant du même acabit.
Cette version serait différente de la première par l’intégration et le renforcement de nombreux points qui contribuent à renforcer son efficacité. L’équipe de Cryptolaemus note en particulier l’utilisation du système de chiffrement HTTPS. Celui-ci sert à garantir le trafic entre le malware et les serveurs de contrôle et à rendre plus complexe la commande buffer. « Nous pouvons maintenant confirmer que le command buffer a été modifié. Il comporte à présent 7 commandes contre 3-4 sur les précédentes versions », précisent les experts de Cryptolaemus.
Capable de paralyser des entreprises
Ceux du groupe Proofpoint disent avoir identifié des campagnes d’e-mails piégés visant à infecter les utilisateurs avec Emotet. Ces documents malveillants contenaient généralement une pièce jointe qui demande à l’utilisateur d’activer les macros afin de télécharger le code du cheval de troie. La machine, une fois infectée, contacte le serveur de contrôle du botnet et diffuse d’autres spams en direction de nouveaux utilisateurs. L’objectif était de reconstruire le réseau d’ordinateurs infectés des cybercriminels.
Proofpoint précise en outre que la nouvelle version du malware se sert de nouveaux serveurs de contrôle pour fonctionner puisque les précédents se trouvent aux mains d’Europol. Si les équipes informatiques ne la neutralisent pas à temps, elle peut paralyser les entreprises pendant plusieurs semaines. Notons que Emotet vend ses informations aux arnaqueurs de rançongiciel, qui ont besoin de ce type de logiciel pour obtenir l’accès initial aux données des organisations.