La coopération entre les autorités judiciaires et policières a permis de neutraliser l’un des botnets les plus importants de la dernière décennie : Emotet. Des chercheurs ont maintenant pris le contrôle de son infrastructure dans le cadre d’une action internationale coordonnée.

Emotet est l’un des services de cybercriminalité les plus professionnels et les plus durables. Découvert en 2014 en tant que cheval de Troie bancaire, ce logiciel malveillant a évolué au fil des ans, devenant la solution idéale pour les cybercriminels. L’infrastructure Emotet a surtout joué un rôle de premier plan dans l’ouverture de systèmes informatiques à l’échelle mondiale. Une fois l’accès non autorisé établi, il a été vendu à d’autres groupes criminels de haut niveau qui s’en sont servi pour réaliser des activités illicites, comme le vol de données et l’extorsion.

Le groupe Emotet a rendu beaucoup plus redoutables les attaques par e-mail. Par un processus entièrement automatisé, le logiciel malveillant Emotet a été envoyé aux ordinateurs des victimes via des pièces jointes contaminées dans des e-mails. Diverses ruses ont été utilisées pour tromper les utilisateurs trop méfiants pour ouvrir ces fichiers. Auparavant, les campagnes Emotet par e-mail avaient également pris la forme de factures, d’avis d’expédition et d’informations sur la COVID-19.

Tous ces e-mails contenaient des documents Word malveillants, en pièces jointes ou disponibles pour le téléchargement via un lien inclus dans le corps de l’e-mail. Lorsque l’utilisateur ouvrait l’un de ces documents, on pouvait lui demander d’« activer les macros », ce qui permettait au code malveillant caché dans le fichier Word d’exécuter et d’installer le logiciel malveillant Emotet sur son ordinateur.

Beaucoup de botnets semblables à Emotet ont une nature polymorphe. Cela signifie que le logiciel malveillant modifie son code chaque fois qu’il est utilisé. Étant donné que de nombreux programmes antivirus analysent sur l’ordinateur les codes de logiciels malveillants connus, un changement de code peut permettre d’éviter la détection du malware au premier abord.

Ainsi, Emotet était beaucoup plus qu’un simple malware. Ce qui l’a rendu si dangereux, c’est qu’il a été vendu à d’autres cybercriminels pour installer sur les ordinateurs des victimes d’autres types de logiciels malveillants, comme des chevaux de Troie bancaires ou des ransomware.

Ce type d’attaque est appelé une « opération de chargement ». Emotet serait l’un des principaux acteurs de la cybercriminalité, car il a aussi profité à d’autres opérateurs de logiciel malveillant, tels que TrickBot et Ryuk.

L’infrastructure utilisée par Emotet impliquait plusieurs centaines de serveurs à travers le monde, tous dotés de différentes fonctionnalités pour gérer les ordinateurs contaminés des victimes, s’étendre à d’autres ordinateurs, servir d’autres groupes criminels et, enfin, rendre le réseau plus résistant aux tentatives de neutralisation.

Les forces de l’ordre se sont unies afin de créer une stratégie opérationnelle efficace pour compromettre l’infrastructure d’Emotet : les autorités policières et judiciaires ont pris le contrôle de l’infrastructure et l’ont neutralisée de l’intérieur. Les dispositifs contaminés des victimes ont été redirigés vers cette infrastructure contrôlée par la police. Il s’agit d’une approche unique et nouvelle pour arrêter efficacement les activités des facilitateurs de la cybercriminalité.

Cette opération est le résultat d’un effort de collaboration entre les autorités néerlandaises, allemandes, américaines, britanniques, françaises, lituaniennes, canadiennes et ukrainiennes, avec une activité internationale coordonnée par Europol et Eurojust. Cette opération a été menée dans le cadre de la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT).

_____

Aquest apunt en català / Esta entrada en español / This post in English