Le botnet Emotet démantelé par Europol

Spread the love
  • Yum

Le botnet Emotet démantelé par Europol

Fin de partie pour Emotet ? Europol annonce aujourd’hui une opération d’envergure ayant permis de démanteler et de prendre le contrôle du réseau d’ordinateurs infectés. L’opération est le résultat de deux années d’efforts conjoints entre les forces de police des Pays-Bas, des Etats-Unis, de l’Allemagne, du Royaume-Uni, de la France, de la Lituanie, du Canada et de l’Ukraine.

Comme l’indique le responsable des opérations contre la cybercriminalité d’Europol aux journalistes du Monde, plusieurs serveurs ont été saisis dans le cadre de cette opération. La police fédérale allemande précise ainsi avoir saisi 17 serveurs utilisés par les cybercriminels sur son territoire, et d’autres serveurs ont été saisis aux Pays-Bas, en Lituanie et en Ukraine. De l’argent et du matériel informatique ont notamment été saisis, comme en témoigne la vidéo publiée par les autorités ukrainiennes montrant deux perquisitions menées dans le cadre de l’affaire.

publicité

Saisies et arrestations en Ukraine

Les autorités ont pris le contrôle du réseau et ont apporté des modifications aux logiciels malveillants afin de s’assurer que les ordinateurs infectés ne contactent que des serveurs contrôlés par les autorités. La police allemande a d’ailleurs précisé dans son communiqué que les adresses IP des appareils infectés étaient transmises à la BSI, équivalent allemand de l’Anssi. Les adresses seront par la suite communiquées aux opérateurs de réseaux, qui se chargeront d’avertir les utilisateurs finaux ayant été infectés, afin de permettre la désinfection des appareils. On ne sait pour l’instant pas si un dispositif similaire sera mis en œuvre en France.

Europol n’a pas annoncé d’arrestation dans le cadre de l’affaire, mais les responsables de l’enquête font savoir au Monde que l’identification des cybercriminels à la tête du réseau était « l’un des principaux objectifs de cette opération ».

Les forces de police ukrainienne ont de leur côté annoncé avoir identifié et arrêté deux individus, chargés « du bon fonctionnement de l’infrastructure et de la propagation du logiciel malveillant ». Elles indiquent que d’autres membres du groupe ont également été identifiés et que des mesures ont été prises pour les arrêter. En vertu de la loi ukrainienne, les membres du groupe risquent jusqu’à 12 ans de prison, au vu des charges retenues contre eux.

Emotet, une longue histoire

Emotet est apparu pour la première fois en 2014, à l’époque sous la forme d’un logiciel malveillant bancaire destiné à voler les identifiants bancaires de ses victimes. Comme le rappelait le rapport de l’Anssi à son sujet, le malware a rapidement évolué pour devenir un logiciel malveillant modulaire, notamment capable de distribuer d’autres logiciels malveillants.

Principalement diffusé par l’envoi d’e-mails contenant des pièces jointes malveillantes, Emotet disposait de capacités de propagation importantes. L’une des techniques les plus employées par les opérateurs d’Emotet était le thread hijacking, qui permet d’exploiter des comptes de messagerie électronique compromis pour insérer des e-mails malveillants dans des conversations anciennes. Les opérateurs du botnet monnayaient ensuite les accès aux appareils compromis à d’autres groupes cybercriminels : Emotet est ainsi l’un des vecteurs fréquemment cités dans le cas d’infections par des ransomwares, notamment concernant le ransomware Ryuk.

Actif depuis de longues années, Emotet s’était notamment fait remarquer en France en septembre 2020, lorsque le tribunal de Paris, le ministère de l’Intérieur et plusieurs avocats et magistrats avaient été visés par une campagne d’e-mails malveillants propageant Emotet.

Le groupe cybercriminel à la manœuvre derrière ce réseau botnet a été identifié sous plusieurs noms par les chercheurs en sécurité qui l’étudiaient : TA542, Mummy Spider, Mealybugs ou encore “Ivan”. Le rapport de l’Anssi sur le sujet évoque un groupe cybercriminel probablement russophone, et apparemment lié de manière étroite avec le reste de la sphère cybercriminelle.

Emotet suit Trickbot

Ce n’est pas la première fois qu’une opération de démantèlement d’un réseau de ce type a lieu : l’année dernière, plusieurs entreprises avaient ainsi porté un coup d’arrêt au botnet Trickbot, un botnet similaire à Emotet, également utilisé dans la revente d’accès à des groupes malveillants.

On peut également citer l’affaire Retadup, une opération de démantèlement de botnet menée par la gendarmerie française, et qui avait permis là aussi de prendre le contrôle du botnet et de modifier le logiciel malveillant installé sur les appareils infectés pour le rendre inopérant. Aucune arrestation n’avait été annoncée dans cette affaire, mais le botnet a été effectivement démantelé.

En l’absence d’arrestation des opérateurs à la tête du réseau, il n’est en effet pas impossible que le botnet réapparaisse sous une autre forme, comme cela avait été le cas pour le botnet Kelihos.

Leave a Reply

%d bloggers like this: