Alerte malware : Emotet se réveille

L’infrastructure de commande et de contrôle de ce redoutable maliciel présente à nouveau des signes d’activité. Les alertes se multiplient.

Le Cert allemand vient de lancer l’alerte : Emotet est de retour. Dans un message publié sur Twitter, l’organisme explique : « l’infrastructure de commande et de contrôle d’Emotet, qui avait été arrêtée début juin, est de nouveau en ligne depuis quelques heures, fournissant des modules aux clients infectés ». Black Lotus Labs fournit une liste d’une vingtaine d’adresses IP active sur cette infrastructure – un chiffre relativement bas par rapport à l’éventail actif précédemment. A ce stade, aucun nouvel exécutable n’apparaît diffusé ; c’est l’infrastructure de commande et de contrôle qui semble réactivée et mise à jour. Et la menace n’est pas à prendre à la légère.

Au fil des ans, Emotet a considérablement évolué jusqu’à devenir l’un des plus redoutables droppers, ces maliciels employés pour installer une charge utile malveillante sur un ordinateur infecté. Il a également été doté de capacités d’auto-réplication sur un réseau local, à l’instar d’un ver. Et le groupe à son origine le vend aujourd’hui au plus offrant. Au mois de février, Sophos faisait état de personnes « hautement professionnelles et motivées financièrement ». Celles-ci semblent donc aujourd’hui rentrer de vacances.

Dernièrement, Emotet a été régulièrement observé dans la distribution du rançongiciel Ryuk, ainsi que chevaux de Troie bancaires, comme Trickbot. Et c’est sans compter les cas où plusieurs charges utiles malicieuses sont déposées.

Début mars, Marcus Hutchins, soulignait ainsi le sérieux de la menace : « si vous êtes alerté d’une infection par Emotet ou Trickbot sur votre réseau, nettoyez immédiatement. Les deux essaient de se diffuser à tous les systèmes du réseau. Et en cas de réussite, le ransomware Ryuk peut être déployé simultanément sur tous les ordinateurs ». Pire encore, Ryuk ne frappe pas au hasard, mais après une longue et prudente reconnaissance. Du coup, au moment du verrouillage des systèmes, « votre réseau a été infecté depuis des semaines voire des mois ».

Mais voilà, le nettoyage, à ce stade, n’a rien de trivial. Kyle Hanslovan, Pdg de Huntress Labs, le soulignait un peu plus tôt : « chaque jour, notre équipe voit les réseaux de 5 à 15 clients touchés par Emotet. Le nettoyage peut prendre entre 3 jours et 3 mois suivant les compétences, les outils et la télémétrie disponibles ».

Qui plus est, les créateurs d’Emotet travaillent d’arrache-pied à assurer sa furtivité. Ainsi, les condensats des documents utilisés pour la compromission initiale, adressés aux victimes en puissance par e-mail non sollicité, changent toutes les dix minutes, afin de mieux échapper aux filtres de messagerie. Les condensats des exécutables apparaissent quant à eux changer toutes les 5 minutes depuis le début du mois de mars.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close