Spam malicieux : IcedID prend la succession d’Emotet

Il y a un peu plus de deux mois, la planète cybersécurité célébrait une action internationale contre Emotet, un coup fatal porté à une menace majeure connue pour avoir contribué aux dégâts considérables provoqués par des cyberattaques de ransomware. Mais immédiatement s’est posée la question de la durée et de l’ampleur du répit. Car si Emotet, associé au groupe TA542, a su largement faire parler de lui, c’était loin d’être la seule menace touchant à la messagerie électronique. Et aujourd’hui, IcedID, aussi appelé BokBot, semble en bonne position pour prétendre à la succession d’Emotet.

Début avril, Miguel de Oliveira, chez Aisi, relevait que ses équipes, « tous comme de nombreux Cert, ont identifié des envois massifs de mails avec le malware IcedID ». Ce dernier est désormais bien identifié comme un premier vecteur d’accès initial pour des attaques de ransomware.

Fin 2020, les équipes de FireEye ont observé IcedID dans des chaînes d’attaque conduisant au déploiement du rançongiciel Egregor. Plus récemment, c’est dans le déploiement de Revil/Sodinokibi qu’IcedID a été observé.

Pour mémoire, le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation a averti, fin mars, les universités de la menace de courriels contenant des pièces jointes empoisonnées, chargeant ce cheval de Troie pouvant être utilisé ensuite, pour des attaques en profondeur jusqu’au déclenchement du rançongiciel.

On ne peut alors s’empêcher de s’interroger sur le cas de l’université de Montpellier. Celle-ci vient de reconnaître avoir été victime d’une cyberattaque par ransomware, avec une détonation survenue le 1^er avril. Mais elle ne précise pas quel a été le vecteur d’intrusion initial.

Dans cette perspective, l’attaque informatique qui a frappé le 31 mars les laboratoires Pierre Fabre interpelle également. Le chercheur Joseph Roosen faisait peu avant état de pièces jointes piégées pour télécharger IcedID, se faisant passer pour des documents protégés par DocuSign. Les enregistrements de DNS du groupe pharmaceutique laissent à comprendre qu’il est utilisateur de ce service. Ce qui aurait pu aider à leurrer un collaborateur et à le laisser cliquer.

Pour les chercheurs Ashwin Vamshi et Adhijit Mohanta, d’Uptycs, « IcedID apparaît prendre la place d’Emotet ». Ils tirent cette conclusion d’un « flux significatif d’échantillons sur nos systèmes de renseignement sur les menaces ».

Selon leurs observations, résumées dans un billet de blog, « la majorité de ces échantillons IcedID est distribuée via des fichiers xlsm joints à des courriels ». Et de préciser avoir observé, en l’espace de trois mois, « plus de 15 000 requêtes HTTP de documents malicieux, dont la majorité était des feuilles de calcul Microsoft Excel portant cette extension ».

D’autres menaces significatives sont également distribuées par e-mail, à l’instar de Qakbot ou d’Agentesla, qu’a également observé Miguel de Oliveira dans ses interventions en mars. Mais pour les chercheurs d’Uptycs, l’intensité de l’activité autour d’IcedID pourrait bien trahir une tendance de fond, qui conduira celui-ci à « émerger comme une incarnation d’Emotet ». La relève est donc prête.