Emotet pourrait faire son retour, selon Microsoft

0

Microsoft recommande à ses clients de ne pas baisser leur garde même après la fermeture de centaines de serveurs du botnet Emotet la fin du mois de Janvier 2021.

Emotet, à l’origine un cheval de Troie bancaire banal repéré en 2014, est devenu le botnet le plus grand et le plus dangereux utilisé par un groupe de menaces identifié sous le nom de TA542 ou Mummy Spider.

Le logiciel malveillant supprime les autres familles de logiciels malveillants sur les systèmes infectés, y compris les chevaux de Troie QakBot et Trickbot (vecteurs de déploiement connus pour les charges utiles des ransomwares Ryuk, Conti, ProLock et Egregor).

Les données de télémétrie collectées par Microsoft depuis que l’infrastructure d’Emotet a été perturbée montrent que le botnet a connu une baisse drastique de l’activité, mais Redmond demande toujours aux clients de rester vigilants.

«Les données de Microsoft 365 Defender montrent que la perturbation de l’infrastructure Emotet a immédiatement entraîné une baisse des nouvelles campagnes», a tweeté plus tôt dans la journée le réseau mondial d’experts en sécurité de l’entreprise.

«Compte tenu de la portée et du rôle d’Emotet dans le déploiement de charges utiles telles que les ransomwares, les clients doivent toutefois assurer une surveillance et une protection continue.

Traduction: « Les administrateurs de sécurité doivent rester vigilants après les nouvelles d’interruption d’Emotet. Les charges utiles de seconde phase délivré par Emotet avant l’interruption reste une menace de sécurité envers votre environnement. »

L’interruption d’Emotet

Les serveurs du botnet ont été abattus en Janvier et le fonctionnement du malware a été interrompu à la suite d’une action coordonnée internationale entre Europol et Eurojust.

Après cet effort conjoint, les forces de l’ordre et les autorités de plusieurs pays ont pu prendre le contrôle de plusieurs centaines de serveurs Emotet qui auraient dû rendre le botnet très résistant contre toute tentative d’interruption.

emotet

Tous les ordinateurs infectés par Emotet ont été redirigés vers une infrastructure contrôlée par les forces de l’ordre pour interrompre plus efficacement les activités malveillantes.

Les forces de l’ordre ont également distribué un nouveau module à tous les appareils infectés qui désinstalleront automatiquement le logiciel malveillant le 25 avril 2021.

« Dans le cadre des mesures de procédure pénale menées au niveau international, le Bundeskriminalamt a fait en sorte que le malware Emotet soit mis en quarantaine dans les systèmes informatiques concernés », a déclaré le BKA.

« Une identification des systèmes concernés est nécessaire afin de saisir les preuves et de permettre aux utilisateurs concernés de procéder à un nettoyage complet du système pour éviter de nouvelles infractions. »

Débarrassé pour de bon?

Les forces de l’ordre ont pris le contrôle du botnet et le forcera à se désinstaller en Avril, cela pourrait constituer une perturbation importante qui devrait rendre très difficile le retour d’Emotet.

Cependant, malgré tous les signes indiquant qu’Emotet aurait du mal à revenir, d’autres botnets perturbés ont pu se rétablir dans le passé malgré des efforts concertés pour les en empêcher.

Par exemple, malgré l’espoir que la perturbation de TrickBot en Octobre par le gouvernement américain et Microsoft aurait eu un effet à long terme, TrickBot a été de nouveau opérationnel en un temps record.

Malgré cela, les chercheurs et experts en sécurité comme Joseph Roosen du groupe de recherche Cryptolaemus, qui a suivi sans relâche les activités du logiciel malveillant, sont toujours enthousiasmés par ce développement.

« Je le sens très bien et j’ai beaucoup d’espoir pour l’avenir. La collaboration entre les forces de l’ordre, le secteur privé et les bénévoles est une belle chose à voir », a déclaré Roosen.

Laisser un commentaire