Le dangereux gang Emotet a fait son grand retour plus tôt dans le mois de juillet. Mais il doit déjà mettre ses opérations en pause, à cause d'un mystérieux adversaire qui bloque le déploiement de ses malwares...

Un saboteur inconnu s’en prend à Emotet, un des gangs de cybercriminels les plus craints au monde. Grâce à son action, les victimes reçoivent des GIFs [des images animées, ndlr] à la place des différents virus des malfaiteurs, relève ZDNet.

Lancé le 21 juillet, ce travail de sape est devenu un tel problème pour Emotet, que l’organisation a dû stopper temporairement une large partie de ses opérations. Plus d’un quart de son activité était affectée d’après Cryptolaemus, un groupe de chercheur spécialisé dans la traque du gang.

« James Franco WTF », « Hackerman », à chaque piratage, le justicier utilise un mème différent. // Source : Giphy

Le travail de sabotage n’a pas encore été revendiqué. Il pourrait être l’œuvre d’un chercheur en cybersécurité… ou d’un gang de cybercriminels adverse.

Les sites compromis utilisés par les hackers sont compromis

Emotet opère un botnet, c’est-à-dire un ensemble de milliers machines compromises, pour lancer des campagnes de phishing particulièrement virulentes à destination des entreprises. À chaque attaque, le réseau envoie des centaines de milliers de messages, au point qu’Emotet était à la fois le botnet le plus volumineux et le plus actif en 2019.

Dans les emails qu’il envoie se trouve le plus souvent un document Microsoft Office (en pièce jointe ou via un lien extérieur) que les pirates incitent à télécharger. Si leurs cibles ouvrent le fichier et cliquent sur le bouton « activer les macros » — une fonctionnalité qui permet de lancer des scripts automatiques, utiles pour toutes sortes d’actions non malveillantes –, ils lanceront le téléchargement du malware Emotet depuis Internet.

Un mot de passe unique pour contrôler le réseau ? !

Les différents composants du malware sont hébergés sur des sites piratés, le plus souvent achetés au marché noir, que les opérateurs de Emotet peuvent modifier à leur guise. Concrètement, Emotet va se connecter à ce site pour déployer des malwares de son cru (par exemple pour voler les données bancaires) ou appartenant à d’autres cybercriminels. En 2019, le botnet était devenu un partenaire régulier des opérateurs de rançongiciel, la menace numéro 1 pour les entreprises.

Le saboteur parvient à identifier les sites sources de Emotet — plusieurs organisations comme Cryptolaemus traquent leur activité de façon quotidienne — et à remplacer les malwares par des images de Giphy ou Imgur, deux services de GIFs populaires. Bingo : si les cibles de Emotet tombent dans le piège tendu par les cybercriminels, elles ne feront que télécharger les GIFs.

D’après Kevin Beaumont, chercheur chez Microsoft et pointure du secteur, Emotet utiliserait le même mot de passe pour les outils de contrôle de tous ses sites piratés. Le justicier inconnu pourrait donc tout simplement avoir deviné ce mot de passe, et s’en servir pour effectuer des modifications à la chaîne. Mais cette théorie n’a pas été confirmée, et il pourrait avoir utilisé une attaque plus complexe.

Emotet au ralenti… jusqu’à quand ?

Emotet travaille encore pour exfiltrer son adversaire de son réseau de sites piratés. En attendant, il a stoppé plus de trois quarts de ses activités dès le 23 juillet. Les malfaiteurs parvenaient à rétablir de plus en plus rapidement les sites modifiés, mais le saboteur remplaçait leurs outils à une vitesse équivalente, parfois à peine 5 minutes après leur mise en ligne.

Reste que Emotet a une puissance de frappe telle qu’il devrait rapidement se remettre en marche. Il pourrait tout remettre la main sur les sites qu’il utilisait ou lancer une opération pour en récupérer d’autres. En attendant, les utilisateurs profitent d’une trêve bienvenue.

Crédit photo de la une : YouTube

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux