Emotet et Dridex, deux invités surprises bien encombrants pour les fêtes

L’université allemande Justus-Liebig (à Gießen) tourne au ralenti depuis le début du mois de décembre. Elle finit même cette semaine de re-distribuer manuellement, sur papier, les mots de passe des comptes de ses 38 000 utilisateurs, étudiants, enseignants, chercheurs et personnels administratifs.

De quoi trahir une possible opération de reconstruction d’annuaire. Officiellement, aucun chiffrement de données ni nom de maliciel n’a été évoqué. Mais rien moins que 1200 clés USB de démarrage ont été distribuées pour nettoyer les postes de travail : elles fonctionnent sous Linux et embarquent quatre moteurs antivirus – Avira, Eset, F-Secure et Kaspersky – ainsi qu’un moteur de détection de maliciels basé sur des règles Yara. Celles-ci sont développées à partir d’échantillons découverts à l’occasion d’une première analyse de l’environnement, nous a expliqué Mattias Schlenker, intervenu à cette occasion. Pour beaucoup, c’est Emotet qui est impliqué.

Toujours outre-Rhin, la clinique de Fürth a également été victime d’un maliciel arrivé par le courrier électronique – elle avait déjà été touchée par un cheval de Troie en 2016. C’est également par e-mail qu’une infection par maliciel vient de conduire la municipalité de Francfort à arrêter son système d’information. Selon nos confrères d’Hessenshau.de, le logiciel malveillant a initialement été découvert sur un poste de travail des services administratifs de Fechenheim, dans la banlieue de Francfort. L’étendue de l’incident n’est pas encore établie.

Mais depuis quelques jours, le Cert allemand semble sur les dents. Il a émis une première alerte publique au sujet d’Emotet le 16 décembre. Ce mercredi 18 décembre, c’était l’homologue de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), le BSI, qui prenait le relais, évoquant des pourriels malicieux aux couleurs d’administrations publiques.

#Emotet Daily Report for 2019/12/18: Another day, another Emotet IoC record broken. Ivan has pushed the accelerator to the floor of the Lada. E1 had 394 Doc DL URLs, E2 358 and E3 176. Lots of news articles today. Updated Regex. TThttps://t.co/gK3gKD5bMWhttps://t.co/O7uSrY9Dhy

— Cryptolaemus (@Cryptolaemus1) December 19, 2019

Mais cela ne s’arrête pas à cela. Les autorités espagnoles et italiennes ont également émis, coup sur coup, cette semaine, des bulletins d’alerte au sujet d’Emotet, exemples de malspam (Malware Spam) à l’appui. Cela ne semble en rien le fruit du hasard. Pour Cryptolaemus, qui tient à jour une liste de marqueurs techniques liés à ce maliciel et à l’activité de ses opérateurs russes, « Yvan a mis le pied au plancher dans la Lada », battant record sur record dans l’intensité de ses activités.

Mais en France, pas un mot de la part des autorités, du moins à l'heure où sont publiées ces lignes. Pourtant, selon nos sources, la menace est réelle : « Emotet tabasse en France depuis lundi soir », nous glisse-t-on ainsi chez un spécialiste du renseignement sur les menaces. En précisant au passage que Dridex est de retour dans l’Hexagone, utilisé pour ensuite déployer BitPaymer.

Sollicité par la rédaction, Proofpoint ne s’est guère montré loquace, préférant peut-être garder ses observations pour un prochain rapport trimestriel. Tout juste souligne-t-il qu’Emotet représentait 12 % de l’ensemble des « malimails » observés au troisième trimestre… alors qu’il avait fait une pause estivale remarquée, commençant à rallumer son infrastructure fin août.

Vade Secure s’est montré plus ouvert. Le Français observe beaucoup d’échantillons d’Emotet outre-Atlantique, à grand renfort d’invitations à des fêtes d’entreprise de fin d’année, entre autres. Et cela n’a rien de ciblé : le maliciel est adressé aussi bien à des particuliers qu’à des entreprises. En France, et plus généralement en Europe, les observations ne font pas ressortir de grosse vague chez l’éditeur. Mais il avance une raison possible à cela : que les malimails soient bloqués par ses filtres avant même que les pièces jointes n’atteignent l’étape de l’analyse. En somme, sur l’Amérique du Nord, les assaillants prendraient la peine de mieux soigner leur infrastructure de distribution de courriels malicieux, que pour le Vieux Continent.