Emotet : Spamhaus s’attelle à sécuriser les e-mails compromis

Spread the love
  • Yum

Emotet : Spamhaus s’attelle à sécuriser les e-mails compromis

Le logiciel malveillant Emotet, dont l’infrastructure a été démantelée au cours d’une opération des forces de l’ordre au début de l’année, continue de donner du travail aux organisations qui tentent de réparer les dégâts causés par le groupe. Emotet se présentait comme un “dropper“, un logiciel malveillant utilisé pour installer d’autres malwares sur le système de la victime, et les accès aux ordinateurs compromis par lui se revendaient entre groupes cybercriminels. Pour parvenir à ses fins, Emotet disposait de nombreuses fonctionnalités de propagation, mais le vecteur favori des opérateurs du logiciel malveillant restait le plus courant : l’e-mail.

Emotet est en effet connu pour avoir popularisé la technique du “thread hijacking” (ou “détournement de fil” en français), qui vise à exploiter des comptes de messageries compromis pour envoyer des e-mails contenant des pièces jointes malveillantes sur un échange de courriels antérieur. L’objectif de cette technique est de pousser les autres participants à cliquer sur les liens malveillants, en exploitant le fait que le nouvel e-mail provient d’une personne connue et s’inscrit dans une conversation légitime.

publicité

De quoi je me mail

Le thread hijacking se révèle être une technique de phishing particulièrement efficace, mais qui demande d’avoir la main sur un grand nombre de comptes de messagerie compromis auparavant pour être efficace. Parmi ses fonctionnalités, le malware Emotet était en mesure d’automatiser la récupération de mots de passe et la diffusion des e-mails malveillants via la technique du Thread Hijacking. Au fil des années d’activités, les opérateurs d’Emotet ont donc accumulé un grand nombre de comptes de messagerie compromis dans diverses organisations, qui étaient utilisés pour diffuser leurs logiciels malveillants.

Nombre de ces adresses ont été identifiées lors de l’opération ayant permis le démantèlement de l’infrastructure utilisée par le groupe Emotet. Restait néanmoins à les sécuriser : l’opération n’ayant pas permis l’arrestation des individus à la tête du réseau, ces derniers restaient donc en possession d’un stock non négligeable d’accès à des comptes de messagerie légitimes, pouvant être utilisés pour diffuser d’autres logiciels malveillants ou d’autres opérations cybercriminelles.

L’organisation de lutte contre le spam Spamhaus a publié au mois de juin une mise à jour sur les efforts entrepris pour sécuriser ces comptes de messagerie. Spamhaus explique avoir reçu une liste contenant 1,3 million d’adresses e-mail ayant été compromises par le logiciel malveillant au cours de ses campagnes. « Après avoir contacté toutes les personnes responsables et fourni une assistance supplémentaire si nécessaire, nous pouvons affirmer avec certitude qu’actuellement, plus de 60 % des comptes compromis ont été sécurisés », affirme Spamhaus, qui indique avoir mis en place une page dédiée afin d’aider les responsables des comptes affectés.

Le mail est fait

Cet effort vient en renfort de la précédente initiative annoncée par Troy Hunt, le responsable du projet HaveIBeenPwned, qui avait également reçu une liste de plus de 4 millions d’adresses e-mail compromises par Emotet. Troy Hunt a donc indexé les adresses compromises dans la base du projet HaveIbeenPwned et alerte depuis le mois d’avril les victimes qui testent leur courriel sur son service, si ceux-ci ont effectivement été compromis.

L’objectif de ces initiatives est d’empêcher la diffusion d’autres logiciels malveillants au travers des adresses compromises par les membres du groupe Emotet.

Comme le montre une récente étude menée par la société Cloudian, ce vecteur reste un des principaux moyens utilisés par les groupes de ransomware pour s’infiltrer sur les réseaux de leurs victimes : 25 % des sondés interrogés par la société ont identifié une attaque de phishing comme étant à l’origine d’un incident de ransomware les ayant affectés au cours des deux dernières années.

Leave a Reply

%d bloggers like this: