Le botnet Emotet revient à la vie
Emotet, l’un des botnets de logiciels malveillants les plus importants du moment, a repris vie après une période d’inactivité de près de quatre mois à compter de la fin du mois de mai de cette année.
Durant cette période, les serveurs de commande et de contrôle (C&C) du réseau d’ordinateurs infectés avaient été arrêtés et Emotet a cessé d’envoyer des commandes aux machines infectées, ainsi que de diffuser nouvelles campagnes de spam par courrier électronique pour infecter de nouvelles victimes.
Certains chercheurs en sécurité espéraient que les forces de l’ordre avaient secrètement trouvé un moyen de bloquer ce botnet. Ce n’était pas le cas.
Nouvelles campagnes de spam
Emotet a commencé à diffuser de nouveaux spams hier selon Raashid Bhat, chercheur en sécurité chez SpamHaus.
Emotet is fully back in action and spamming. Within the past 15 minutes our researchers have observed activity. #botnet #emotet #ThreatIntel pic.twitter.com/jRTNqph6K0
— Spamhaus (@spamhaus) September 16, 2019
#emotet has resumed spamming operations this morning. We will provide some updates soon.
— Cofense Labs (@CofenseLabs) September 16, 2019
Selon Bhat, les e-mails contenaient des pièces jointes malveillantes ou des liens vers des pages contenant des téléchargements malveillants. La campagne de spam lancée hier via Emotet vise principalement des utilisateurs polonais et germanophones.
Les utilisateurs qui reçoivent ces courriels, téléchargent et exécutent l’un des fichiers malveillants s’exposent au risque d’être infectés par le programme malveillant Emotet.
Une fois infectés, les ordinateurs sont ajoutés au botnet Emotet. Le malware Emotet sur les ordinateurs infectés est notamment utilisé pour télécharger et installer d’autres programmes malveillants.
Emotet est connu pour fournir des modules capables d’extraire les mots de passe d’applications locales, de se déplacer et d’infecter d’autres ordinateurs du même réseau, et même de voler des thread d’emails complets pour les réutiliser ultérieurement dans des campagnes de spam.
En outre, les opérateurs d’Emotet sont également connus pour proposer leur botnet en tant que Malware-as-a-Service (MaaS) : d’autres gangs criminels peuvent louer l’accès à des ordinateurs infectés par Emotet et diffuser leurs propres programmes malveillants aux côtés d’Emotet.
Certains des clients les plus connus d’Emotet sont les opérateurs des souches de ransomware Bitpaymer et Ryuk, qui ont souvent loué l’accès à des hôtes infectés par Emotet pour infecter des réseaux d’entreprise ou des administrations locales avec leurs ransomwares.
A closer look at three #Emotet infections that ultimately resulted in #ransomware being dropped: https://t.co/1TtnJrDmDB pic.twitter.com/z267ggdA9o
— Barkly (@barklyprotects) October 30, 2018
Le réveil d’Emotet était attendu
Le renouveau d’Emotet n’est pas une surprise totale pour les chercheurs en sécurité. Les serveurs C&C d’Emotet sont devenus inactifs à la fin du mois de mai, mais ils ont repris vie à la fin du mois d’août.
Ils n’ont néanmoins pas commencé à envoyer du spam tout de suite. Au cours des dernières semaines, les serveurs C&C étaient restés inactifs, diffusant des fichiers binaires pour les modules “déplacement latéral” et “vol de justificatifs d’identité”, a déclaré Bhat à ZDNet au cours d’une interview.
Bhat pense que les opérateurs d’Emotet ont passé ces dernières semaines à rétablir les communications avec des appareils précédemment infectés qu’ils avaient abandonnés fin mai et à se répandre sur les réseaux locaux afin de maximiser la taille de leur botnet avant de passer à leur activité principale : l’envoi de spam.
Plusieurs chercheurs en sécurité ont prédit cette période de montée en puissance le mois dernier, lorsque l’équipe Emotet a réactivé les serveurs C&C.
not to mention the distribution wing is a whole botnet of its own that needs to be fired up, fed hacked wordpress inventory, shells deployed, etc.
even tiered infrastructure for the distro wing.has to be running first.
— JTHL (@JayTHL) August 23, 2019
Le fait que les opérations d’Emotet aient été interrompues pendant quelques mois n’est pas vraiment une nouveauté. Les réseaux botnets malveillants restent souvent inactifs pendant des mois pour différentes raisons.
Certains botnets deviennent silencieux afin de procéder à la mise à niveau de leur infrastructure, tandis que d’autres le font simplement parce que leurs opérateurs prennent des vacances. Par exemple, le botnet Dridex diminue régulièrement son activité chaque année entre la mi-décembre et la mi-janvier, pour les vacances d’hiver.
À l’heure d’écrire cet article, on ne sait pas pourquoi Emotet s’est arrêté pendant l’été. Néanmoins, le botnet est revenu à son état précédent, continuant de fonctionner en utilisant un modèle d’infrastructure double basé sur deux botnets distincts.
TrickBot veut la couronne
Mais même si Emotet a mis fin à ses activités pendant près de quatre mois, les autres botnets n’ont pas fait de pause. Pendant qu’Emotet était en panne, les opérateurs du botnet TrickBot ont pris la place du botnet le plus actif du marché.
This chart shows the number of Emotet Vs. TrickBot malware samples since Jan 2019. You can clearly see the disappearance of Emotet 📉 malspam campaigns end of May and the rise of TrickBot 📈 in July that is nowadays used to deploy Ransomware 🔒💰on corporate networks 🏛️ pic.twitter.com/IdPoGxYMbO
— abuse.ch (@abuse_ch) August 13, 2019
Emotet et TrickBot partagent de nombreuses similitudes. Tous deux étaient à l’origine des chevaux de Troie bancaires qui ont été recodés pour être utilisés en tant que « dropper » de logiciels malveillants – des logiciels malveillants téléchargeant d’autres logiciels malveillants.
Les deux infectent les victimes, puis téléchargent d’autres modules pour voler des informations d’identification ou se déplacer latéralement sur un réseau. En outre, ils vendent tous deux l’accès aux machines infectées à d’autres groupes malveillants, pour des opérations de minage de cryptomonnaie ou des attaques de ransomware.
Avec l’essor de Trickbot, le réveil d’Emotet est une mauvaise nouvelle pour les administrateurs système chargés de la protection des réseaux d’entreprise et gouvernementaux, cibles favorites des deux botnets.
Les chercheurs en sécurité et les administrateurs système cherchant des hashs de fichiers, des adresses IP de serveur, des lignes d’objet d’e-mails de spam et d’autres indicateurs de compromission (IOC) peuvent trouver ces données sur Twitter. Cryptolaemus, un groupe de chercheurs en sécurité surveillant le botnet Emotet, a également publié des indicateurs de compromission destinés à ceux qui souhaitent se protéger.
Source : Emotet, today’s most dangerous botnet, comes back to life