Emotet semblait hors d'état de nuire après son démantèlement par les autorités en janvier 2021. Mais plusieurs signes montrent que le groupe a repris ses attaques.

Les autorités avaient frappé fort, ça n’a pas suffi. Des éléments montrent que le botnet Emotet a repris son activité. Ce logiciel malveillant — il permet de créer un réseau de machines infectées dont les pirates peuvent prendre le contrôle pour mener des attaques — était considéré comme le plus dangereux du monde avant son démantèlement par Europol et une action conjointe de 8 pays en janvier 2021. Mais de nouvelles traces d’infection par Emotet, vraisemblablement aidé par un autre groupe cybercriminel, laissent penser que le malware est de retour.

Une action de police avait stoppé l’activité d’Emotet

L’opération de police réalisée en début d’année était pourtant considérée comme un succès : le groupe cybercriminel avait perdu l’accès à ses infrastructures, c’est à dire les serveurs qui permettaient aux pirates de contrôler toutes les machines infectées. Machines qui étaient elles mêmes utilisées pour réaliser des attaques de grande ampleur. Les forces de l’ordre avaient même propagé un script pour désinstaller massivement ces malwares, présents dans des millions d’ordinateurs.

Emotet a pendant longtemps été présenté comme le malware le plus dangereux du monde // Source : Montage Numerama

Mais il n’est pas facile d’achever un tel monstre. Déjà au moment du démantèlement, de nombreux experts doutaient de la disparition définitive d’Emotet. Même le communiqué de presse d’Europol, qui vantait la réussite de l’opération, préférait parler de « perturbation  » des activités du groupe.

Un retour après 10 mois d’accalmie

Après 10 mois de calme, le chercheur en cybersécurité Luca Ebach explique avoir observé qu’un autre Botnet, TrickBot, aidait le groupe Emotet à se reconstruire. Très simplement, le premier groupe ajouterait le logiciel malveillant du deuxième à des machines déjà infectées. Est-on sûr qu’il s’agit bien du groupe Emotet ? Le chercheur résume ses conclusions en ces mots : « ça sent comme Emotet, ça ressemble à Emotet, ça agit comme Emotet – il semble que ce soit Emotet. »

Comme le relève le groupe de chercheurs en cybersécurité Cryptolaemus interrogé par le média anglophone The Record, le fait d’utiliser Trickbot comme vecteur d’infection n’est pas nouveau pour Emotet, et pourrait être un moyen de se refaire. Un signe supplémentaire, repéré par Brad Duncan dans un billet pour l’Internet Group Center, est la reprise au moins partielle des campagnes d’infection par mail. Une pratique qui est le mode traditionnel d’attaque du groupe. Il est encore trop tôt pour dire si le groupe est de retour. Mais une chose est certaine, Emotet n’est pas encore éradiqué.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux