Advertisements

Sextorsion : Emotet s’y met, avec un certain succès

Spread the love
Sextorsion : Emotet s’y met, avec un certain succès

Emotet est un botnet utilisé pour beaucoup de choses : actif depuis de nombreuses années, celui-ci a notamment servi à diffuser des malwares (Ryuk, Trickbot et autres) et à diffuser d’importantes campagnes de spam. Selon les chercheurs d’IBM X Force, les opérateurs du botnet auraient été particulièrement actifs au cours du mois de janvier dans l’envoi d’e-mails de sextorsion, et les revenus estimés de cette campagne sont supérieurs à ceux de la concurrence.

Dans un post de blog, les chercheurs d’IBM ont analysé les campagnes de sextorsion diffusées par les opérateurs du botnet emotet en les comparant avec celles diffusées par le botnet Necurs, un concurrent utilisé pour diffuser des campagnes de ce type. Les conclusions d’IBM sont sans appel : une campagne de diffusion de spam pendant sept semaines via Necurs à la fin de l’année 2019 avait rapporté 4 527 dollars à ses initiateurs. Une même campagne diffusée par Emotet entre le 23 et le 28 janvier 2020 a permis de rapporter 57 000 dollars, soit plus de dix fois les gains de la campagne Necurs. Pour estimer les gains, les chercheurs se sont basés sur l’analyse des adresses bitcoin utilisées pour recevoir les rançons.

publicité

L’arnaque ne suffit pas

Les e-mails envoyés sont sur le modèle des campagnes de sextorsion qui ont gagné en popularité au cours des derniers mois, et visent comme d’habitude à faire croire à l’utilisateur que sa webcam a été piratée pour le forcer à payer la rançon. Mais l’arnaque seule ne suffisant pas, les e-mails diffusés via Emotet contiennent également une pièce jointe piégée utilisée pour diffuser le malware Emotet, et donc infecter la machine de la cible et l’enroler au sein du botnet.

Un exemple d’e-mail de spam diffusé par Emotet. L’utilisation de caractères unicode inhabituels pourrait être un moyen de contourner les filtres de spam selon les chercheurs.

Pour IBM, la rentabilité des campagnes diffusées via Emotet s’expliquent par deux facteurs principaux : Emotet a ainsi choisi de demander des rançons payées en bitcoin, et a principalement visé des adresse professionnelles plutot que des adresses de particulier. D’autres facteurs entrent probablement en compte, comme le volume d’e-mails distribués et la qualité des e-mails diffusés, mais le constat d’IBM X Force met en lumière la montée en puissance d’Emotet, qui se positionne aujourd’hui comme le botnet de choix dans l’écosysteme cybercriminel.

Emotet est un botnet datant de 2014. Le malware Emotet était à l’origine utilisé pour le vol d’informations bancaires. Mais au fil des années, les opérateurs ont su faire évoluer leur code malveillant afin de créer un botnet versatile et largement deployé. Les opérateurs, un groupe qui se fait appeler “Mealybugs”, sont connus pour louer les services de leur botnet à d’autres groupes d’attaquants. IBM X force estime ainsi que les nouvelles campagnes de spam d’e-mails de sextorsion sont probablement le fait d’un groupe tiers ayant loué les services du botnet pour diffuser ses campagnes.

Pour les entreprises potentiellement visées, il vaut mieux garder un œil sur les évolutions de ce botnet. Fin janvier, le centre de cybersécurité du ministère de l’Interieur américain avait déjà publié un document alertant les administrateurs sur une recrudescence des attaques émanant d’Emotet. Le botnet bénéficie également d’un nouveau module lui permettant de se propager via Wi-Fi, en profitant des mots de passe trop faibles. Pour les dernières mises à jour et marqueurs concernant Emotet, le groupe de chercheur en sécurité Cryptolaemus s’évertue de suivre au quotidien les évolutions apportées à l’infrastructure de ce botnet.

Advertisements

Leave a Reply