Emotet, une cybermenace plus dynamique que jamais

Emotet est loin d’être un inconnu. En 2014, il apparaissait comme cheval de Troie conçu pour dérober des données bancaires. Cinq ans plus tard, il s’est imposé comme l’un des plus redoutables droppers, ces maliciels employés pour installer une charge utile malveillante sur un ordinateur infecté.

La mutation a été progressive. Ainsi, en 2017, Emotet se dotait de capacités d’auto-réplication sur un réseau local, à l’instar d’un ver. Aux Etats-Unis, le Cert local le décrivait l’an dernier comme l’un des maliciels « les plus coûteux et ravageurs ». Et cela ne semble pas exagéré.

Emotet présente ainsi au moins deux spécificités qui le rendent particulièrement menaçant. La première tient à son modèle économique. Sophos le rappelait au mois de février : « Emotet sert n’importe quel maliciel qui paie » et « les personnes à l’origine d’Emotet sont hautement professionnelles et motivées financièrement ».

C’est ainsi qu’Emotet apparaît aujourd’hui utilisé pour la distribution du rançongiciel Ryuk. Mais pas uniquement : il faut aussi compter avec les chevaux de Troie bancaires, comme Trickbot. Et c’est sans compter les cas où plusieurs charges utiles malicieuses sont déposées.

L’autre originalité d’Emotet est la fréquence à laquelle la charge exécutable est modifiée. Déjà en 2017, Kevin Beaumont soulignait que celle-ci était reconstruite « toutes les quelques heures », pour augmenter la furtivité et les chances d’échapper aux outils de protection des postes de travail. Mais c’est aujourd’hui bien pire.

Sophos assure ainsi avoir observé rien moins que 4 494 exécutables Emotet différents durant la seule seconde quinzaine du mois de janvier 2019.

L’Open Threat Exchange d’Alien Vault est ainsi enrichi chaque jour de nouveaux indicateurs de compromission spécifiques à Emotet. L’une des « pulses » dédiées aux indicateurs – il y en a régulièrement deux créées par jour – de ce 10 avril 2019 rassemblait plus d’un milliers d’indicateurs, dont 369 URLs, 125 adresses IPv4, 261 noms de domaines, 241 condensats de fichiers SHA-256.

En fait, il apparaît que les condensats des documents utilisés pour la compromission initiale, adressés aux victimes en puissance par e-mail non sollicité, changent toutes les dix minutes, afin de mieux échapper aux filtres de messagerie. Les condensats des exécutables apparaissent quant à eux changer toutes les 5 minutes depuis le début du mois de mars. Et pour les communications avec les serveurs de commande et de contrôle, il n’utilise plus des adresses IP mais des URL complètes.

Récemment, Emotet semble avoir fait un nombre important de victimes au Chili. Mais selon la télémétrie de Sophos, il est bien présent en Europe. Outre-Rhin, le Cert allemand vient d’ailleurs de tirer à nouveau la sonnette d’alarme.