Emotet : la police active le killswitch

Spread the love
Emotet : la police active le killswitch

Une mise à jour conçue par les forces de l’ordre a déclenché le processus de suppression du malware Emotet sur 1,6 million d’ordinateurs infectés dans le monde.

Emotet était considéré comme le plus grand botnet au monde, connu pour envoyer chaque jour des millions de spams chargés de malwares. Les services répressifs des États-Unis, du Canada et de l’Europe ont procédé à un démantèlement de l’infrastructure d’Emotet en janvier afin de débarrasser internet de ce botnet, qui était utilisé pour diffuser des chevaux de Troie bancaires, des accès à distance et des rançongiciels.

publicité

Les forces de l’ordre ont notamment réquisitionné l’infrastructure de contrôle d’Emotet pour empêcher ses opérateurs d’utiliser le botnet pour diffuser d’autres logiciels malveillants. Comme le rapportait ZDNet en janvier, les forces de l’ordre néerlandaises ont pris le contrôle de deux des trois serveurs C2 d’Emotet.

Ce mois-là, les forces de l’ordre ont diffusé une mise à jour d’Emotet qui devait supprimer le logiciel malveillant de tous les ordinateurs infectés le 25 avril. Selon BleepingComputer, l’agence de police fédérale allemande Bundeskriminalamt (BKA) a créé et diffusé le module de désinstallation.

“Les forces de l’ordre vont diffuser une mise à jour d’Emotet, le fichier “EmotetLoader.dll”, qui permettra de supprimer le logiciel malveillant de tous les appareils infectés. La clé d’exécution dans le registre Windows des appareils infectés sera supprimée afin que les modules Emotet ne soient plus lancés automatiquement et que tous les serveurs exécutant des processus Emotet soient arrêtés”, a déclaré la société de sécurité Redscan.

“Toutefois, il est important de noter que la désactivation ne supprime pas les autres logiciels malveillants installés sur les appareils infectés via Emotet, ni les logiciels malveillants provenant d’autres sources”, ajoute la société.

La société de cybersécurité Malwarebytes a analysé le programme de désinstallation d’Emotet utilisé par les forces de l’ordre.

“La routine de désinstallation elle-même est très simple. Elle supprime le service associé à Emotet, supprime la clé d’exécution, tente (mais échoue) de déplacer le fichier vers %temp%, puis quitte le processus”, notent les chercheurs.

Malgré l’erreur dans le code des forces de l’ordre, ils ajoutent que le malware Emotet “a été neutralisé et est inoffensif puisqu’il ne s’exécutera pas, ses mécanismes de persistance ayant été supprimés”.

Selon un communiqué de presse du FBI publié janvier, : “des forces de l’ordre étrangères, travaillant en coordination avec le FBI, ont obtenu un accès légal aux serveurs Emotet situés à l’étranger et ont identifié les adresses IP d’environ 1,6 million d’ordinateurs dans le monde qui semblent avoir été infecté par le logiciel malveillant Emotet entre le 1er avril 2020 et le 17 janvier 2021.”

Plus de 45 000 des ordinateurs infectés semblent avoir été situés aux États-Unis.

Source : “ZDNet.com”

Leave a Reply