Le dangereux gang Emotet a fait son grand retour plus tôt dans le mois de juillet. Mais il doit déjà mettre ses opérations en pause, à cause d’un mystérieux adversaire qui paralyse leur bon fonctionnement…

Un saboteur inconnu s’en prend à Emotet, un des gangs de cybercriminels les plus craints au monde. Grâce à son action, les victimes reçoivent des GIFs [des images animées, ndlr] à la place des différents virus des malfaiteurs, relève ZDNet.

Lancé le 21 juillet, ce travail de sape est devenu un tel problème pour Emotet, que l’organisation a dû stopper temporairement une large partie de ses opérations. Plus d’un quart de son activité était affectée d’après Cryptolaemus, un groupe de chercheur spécialisé dans la traque du gang.

Image d'erreur

« James Franco WTF », « Hackerman », à chaque piratage, le justicier utilise un mème différent. // Source : Giphy

Le travail de sabotage n’a pas encore été revendiqué. Il pourrait être l’œuvre d’un chercheur en cybersécurité… ou d’un gang de cybercriminels adverse.

Les sites compromis utilisés par les hackers sont compromis

Emotet opère un botnet, c’est-à-dire un ensemble de milliers machines compromises, pour lancer des campagnes de phishing particulièrement virulentes à destination des entreprises. À chaque attaque, le réseau envoie des centaines de milliers de messages, au point qu’Emotet était à la fois le botnet le plus volumineux et le plus actif en 2019.

Dans les emails qu’il envoie se trouve le plus souvent un document Microsoft Office (en pièce jointe ou via un lien extérieur) que les pirates incitent à télécharger. Si leurs cibles ouvrent le fichier et cliquent sur le bouton « activer les macros » — une fonctionnalité qui permet de lancer des scripts automatiques, utiles pour toutes sortes d’actions non malveillantes –, ils lanceront le téléchargement du malware Emotet depuis Internet.

Un mot de passe unique pour contrôler le réseau ?!

Les différents composants du malware sont hébergés sur des sites piratés, le plus souvent achetés au marché noir, que les opérateurs de Emotet peuvent modifier à leur guise. Concrètement, Emotet va se connecter à ce site pour déployer des malwares de son cru (par exemple pour voler les données bancaires) ou appartenant à d’autres cybercriminels. En 2019, le botnet était devenu un partenaire régulier des opérateurs de rançongiciel, la menace numéro 1 pour les entreprises.

Le saboteur parvient à identifier les sites sources de Emotet — plusieurs organisations comme Cryptolaemus traquent leur activité de façon quotidienne — et à remplacer les malwares par des images de Giphy ou Imgur, deux services de GIFs populaires. Bingo : si les cibles de Emotet tombent dans le piège tendu par les cybercriminels, elles ne feront que télécharger les GIFs.

D’après Kevin Beaumont, chercheur chez Microsoft et pointure du secteur, Emotet utiliserait le même mot de passe pour les outils de contrôle de tous ses sites piratés. Le justicier inconnu pourrait donc tout simplement avoir deviné ce mot de passe, et s’en servir pour effectuer des modifications à la chaîne. Mais cette théorie n’a pas été confirmée, et il pourrait avoir utilisé une attaque plus complexe.

Emotet au ralenti… jusqu’à quand ?

Emotet travaille encore pour exfiltrer son adversaire de son réseau de sites piratés. En attendant, il a stoppé plus de trois quarts de ses activités dès le 23 juillet. Les malfaiteurs parvenaient à rétablir de plus en plus rapidement les sites modifiés, mais le saboteur remplaçait leurs outils à une vitesse équivalente, parfois à peine 5 minutes après leur mise en ligne.

Reste que Emotet a une puissance de frappe telle qu’il devrait rapidement se remettre en marche. Il pourrait tout remettre la main sur les sites qu’il utilisait ou lancer une opération pour en récupérer d’autres. En attendant, les utilisateurs profitent d’une trêve bienvenue.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !