Emotet : Spamhaus s’attelle à sécuriser les mails compromis
Le logiciel malveillant Emotet, dont l’infrastructure a été démantelée au cours d’une opération des forces de l’ordre au début de l’année, continue de donner du travail aux organisations qui tentent de réparer les dégâts causés par le groupe. Emotet se présentait comme un « dropper », un logiciel malveillant utilisé pour installer d’autres logiciels malveillants sur le système de la victime, et les accès aux ordinateurs compromis par ce malware se revendaient entre groupes cybercriminels. Pour parvenir à ses fins, Emotet disposait de nombreuses fonctionnalités de propagation, mais le vecteur favori des opérateurs du logiciel malveillant restait le plus courant : le mail.
Emotet est en effet connu pour avoir popularisé la technique du « thread hijacking » (ou détournement de fil en français), qui vise à exploiter des comptes de messageries compromis pour envoyer des mails contenant des pièces jointes malveillantes sur un échange de mail antérieur. L’objectif de cette technique est de pousser les autres partripants à cliquer sur les liens malveillants, en exploitant le fait que le nouveau mail provient d’une personne connue et s’inscrit dans une conversation légitime.
De quoi je me mail
Le thread hijacking se révèle être une technique de phishing particulièrement efficace, mais qui demande d’avoir la main sur un grand nombre de comptes de messagerie compromis auparavant pour être efficace. Parmi ses fonctionnalités, le malware Emotet était en mesure d’automatiser la récupération de mots de passe et la diffusion des mails malveillants via la technique du Thread Hijacking. Au fil des années d’activités, les opérateurs d’Emotet ont donc accumulé un grand nombre de comptes mails compromis dans diverses organisations, qui étaient utilisés pour diffuser leurs logiciels malveillants.
Nombre de ces adresses ont été identifiées lors de l’opération ayant permis le démantèlement de l’infrastructure utilisée par le groupe Emotet. Restait néanmoins à les sécuriser : l’opération n’ayant pas permis l’arrestation des personnes à la tête du réseau, ces derniers restaient donc en possession d’un stock non négligeable d’accès à des comptes mails légitimes, qui pouvait être utilisée pour diffuser d’autres logiciels malveillants ou d’autres opérations cybercriminelles.
L’organisation de lutte contre le spam Spamhaus a publié au mois de juin une mise à jour sur les efforts entrepris pour sécuriser ces comptes email. Spamhaus explique avoir reçu une liste contenant 1,3 million d’adresses email ayant été compromises par le logiciel malveillant au cours de ses campagnes. « Après avoir contacté toutes les personnes responsables et fourni une assistance supplémentaire si nécessaire, nous pouvons affirmer avec certitude qu’actuellement, plus de 60% des comptes compromis ont été sécurisés », affirme Spamhaus, qui indique avoir mis en place une page dédiée afin d’aider les responsables des comptes affectés.
Le mail est fait
Cet effort vient en renfort de la précédente initiative annoncée par Troy Hunt, le responsable du projet HaveIBeenPwned, qui avait également reçu une liste de plus de 4 millions d’adresses mail compromises par Emotet. Troy Hunt a donc indexé les adresses compromises dans la base du projet HaveIbeenPwned et alerte depuis le mois d’avril les victimes qui testent leur mail sur son service que ceux-ci ont effectivement été compromis.
L’objectif de ces initiatives est d’empêcher la diffusion d’autres logiciels malveillants au travers des adresses email compromises par les membres du groupe Emotet. Comme le montre une récente étude menée par la société Cloudian, ce vecteur reste un des principaux moyens utilisés par les groupes de ransomware pour s’infiltrer sur les réseaux de leurs victimes : 25 % des sondés interrogés par la société ont identifié une attaque de phishing comme étant à l’origine d’un incident de ransomware les ayant affectés au cours des deux dernières années.
