Emotet est de retour après 5 mois d’absence

by admin
Emotet est de retour après 5 mois d'absence

ZDNet a appris le retour d’Emotet, la plus active des opérations cybercriminelles et de botnet de malwares.

Avant les attaques de la semaine dernière, Emotet avait cessé toute activité depuis le 7 février, expliquait à ZDNet Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint.

publicité

Tout part d’un document Word

Le botnet, qui fonctionne à partir de trois grappes de serveurs distinctes – connues sous le nom d’Epoch 1, Epoch 2 et Epoch 3 – envoie des e-mails spam et essaie d’infecter de nouveaux utilisateurs avec sa charge utile de logiciels malveillants.

« La campagne actuelle cible principalement des destinataires aux Etats-Unis et au Royaume-Uni, l’appât étant envoyé en anglais », précise Sherrod DeGrippo.

« Les e-mails contiennent soit une pièce jointe Word, soit des URL renvoyant au téléchargement d’un document Word contenant des macros malveillantes qui, si elles sont activées par les utilisateurs, permettront de télécharger et d’installer Emotet. La campagne est en cours et a atteint environ 250 000 messages à ce jour », ajoute Sherrod DeGrippo.

Extrait d’un des e-mails spams (Image : Spamhaus)

Un retour confirmé par plusieurs spécialistes de la cybersécurité

Cryptolaemus – un groupe de chercheurs en sécurité qui se consacre à la détection et au suivi d’Emotet – a également confirmé le retour du botnet, ainsi que d’autres sociétés de cybersécurité telles que CSIS, Microsoft, Malwarebytes, Abuse.ch et Spamhaus.

La nouvelle du retour d’Emotet ne peut ravir personne dans l’industrie de la cybersécurité. Avant de disparaître en février, il était de loin, la plus grande, la plus active et la plus sophistiquée des opérations de cybercriminalité.

Des liens étroits entre Emotet et les gangs de ransomware

Le gang Emotet exploite une infrastructure de spam par courrier électronique qu’il utilise pour infecter les utilisateurs finaux avec le cheval de Troie Emotet. Il utilise ensuite cette première entrée dans le réseau pour déployer d’autres logiciels malveillants, soit dans son propre intérêt (en déployant par exemple un module de cheval de Troie bancaire), soit pour d’autres groupes de cybercriminalité qui louent l’accès à des hôtes infectés (comme les gangs de ransomwares ou d’autres opérateurs de logiciels malveillants tels que Trickbot, etc.)

En raison de ses liens étroits avec des opérateurs de ransomwares, Emotet est traité avec le même degré d’urgence qu’une attaque par ransomware dans certains pays, comme l’Allemagne ou les Pays-Bas. Les entreprises et les organisations qui trouvent un hôte infecté par Emotet sont priées d’isoler le système infecté et de mettre hors ligne l’ensemble de leur réseau pendant qu’elles enquêtent, une mesure nécessaire pour empêcher la livraison d’une charge utile de ransomware dans l’intervalle.

C’est la deuxième grande pause qu’Emotet s’accorde au cours des deux dernières années. Il avait déjà cessé toute activité entre mai et septembre de l’année dernière.

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading