Considéré comme le plus dangereux des chevaux de Troie par de nombreux experts, Emotet est diffusé par un botnet capable d'envoyer plus de 500 000 emails de phishing par jour. Une entreprise de cybersécurité a compilé des données sur ses attaques et les met en partie à disposition dans un moteur de recherche gratuit, Have I Been Emotet.

L’éditeur d’antivirus italien TG Soft a mis en ligne un nouveau site, baptisé « Have I Been Emotet ». Il propose à n’importe qui de vérifier gratuitement si son adresse email a été touchée, compromise ou tout simplement ciblée par un des chevaux de Troie les plus craints au monde, Emotet.

Concrètement, ce nouveau site adopte un fonctionnement identique à Have I Been Pwned (HIBP), la référence sur les fuites de données (et copie au passage son nom). Il suffit d’entrer votre adresse email dans le champ de recherche, puis le moteur va la chercher dans la base de données compilée par TG Soft. Si votre adresse est compromise, si elle a servi à un vol d’information, ou si elle a simplement été visée par un email d’Emotet, le site vous l’indiquera.

Il suffit d’entrer une adresse pour savoir si elle a été compromise par Emotet. // Source : TG Soft

Pour l’instant, l’entreprise n’a pas communiqué sur le volume de sa base de données, mais un onglet « statistiques » est en cours de création.

Emotet ouvre la porte aux rançongiciels

Notre confrère Valéry Marchive du MagIT, a cherché les adresses de plusieurs victimes et cibles notoires du gang Emotet, avec succès.

Parmi les victimes les plus récentes se trouve notamment Universal Health Services, une chaîne d’hôpitaux américains et britanniques, presque entièrement paralysée depuis le début de la semaine. Le cheval de Troie Emotet aurait servi à introduire le malware Trickbot sur le réseau, qui aurait lui-même ouvert une porte dérobée au rançongiciel Ryuk. C’est une des raisons pour lesquelles Emotet est autant craint : son activité est souvent suivie par celle d’un rançongiciel, qui peut mener à des pertes chiffrées en millions d’euros (qu’elles soient causées par le paiement d’une rançon ou par un arrêt temporaire de l’activité).

Connu depuis 2014, Emotet lance des campagnes massives, mais à intervalles irréguliers. Par exemple, le groupe, qui opère un botnet [un ensemble de machines compromises, ndlr] capable d’envoyer jusqu’à 500 000 emails par jour, a été très peu actif sur la première moitié de l’année 2020. Mais depuis août, son activité a repris de plus belle, notamment en France, où il a fait suffisamment de victimes pour que l’Anssi — une des plus hautes autorités sur la cybersécurité — doivent publier un communiqué de mise en garde officiel.

Si Emotet permet à terme de déployer des attaques lourdes et complexes, il permet à lui seul de voler des informations comme des documents confidentiels ou des mots de passe. Une fois placé sur un ordinateur du réseau, il excelle à se répandre sur les autres.

Une entreprise peut-elle vraiment faire fonctionner un équivalent de Have I Been Pwned ?

Dans sa suite de message sur Twitter, TG Soft avance que son service permettra d’aider à enquêter sur les cyberattaques, en donnant le cas de l’incident de UHS. La base de données permet d’identifier que des adresses email de UHS ont reçu des emails infectés depuis une adresse de Magellan Health, une autre entreprise compromise par Emotet en avril. Le moteur de recherche donne donc des indications sur les liens éventuels entre les différentes victimes.

Reste que le projet de l’entreprise italienne va se confronter à certains obstacles. Déjà, il existe plusieurs observateurs qui traquent les moindres faits et gestes de Emotet, comme Cryptolaemus, dont le suivi est très respecté. Ensuite, TG Soft veut se positionner comme le Have I Been Pwned d’Emotet et appelle les chercheurs de tous bords à lui communiquer leurs données relatives à l’activité du gang.

Qui donnera ses données de recherche à une entreprise ?

HIBP opère ainsi pour les fuites de données, mais dispose d’un statut tout autre, puisque le site est géré par un seul homme, l’Australien Troy Hunt. Celui-ci tire tous ses revenus de dons et d’un service d’intégration de son outil à d’autres logiciels. Très transparents sur ses décisions, le chercheur a réussi à gagner après plusieurs années la confiance de ses pairs.

D’ailleurs, le projet de mise en vente finalement avorté de HIBP a mis en avant les craintes de la communauté autour des potentiels problèmes que pourrait amener un raisonnement plus capitaliste dans le fonctionnement du site.

Pour convaincre d’éventuels utilisateurs et attirer les données intéressantes, TG Soft devra donc prouver que son projet sera suffisamment détaché de ses intérêts d’éditeur de logiciels antivirus. Elle s’engage ainsi dans un jeu d’équilibriste complexe…

Crédit photo de la une : Montage Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux