Une évolution d’Emotet fait craindre une forte accélération des cyberattaques

L’alerte a été lancée dans la soirée de ce mardi 7 décembre par le collectif Cryptolaemus : la plus récente incarnation du botnet Emotet, son epoch 5, distribue directement des balises Cobalt Strike sur les hôtes infectés.

Cobalt Strike est un outil conçu initialement pour le test d’intrusion. Mais les cyberdélinquants l’utilisent largement dans le cadre de leurs attaques pour accéder à distance au système d’information de leurs victimes en devenir et s’y déplacer, jusqu’à réussir à en prendre le contrôle.

Cobalt Strike est notamment utilisé par le groupe Lokean, dont l’Agence nationale de la sécurité des systèmes d’information (Anssi) a récemment documenté les activités. Ces dernières sont notamment liées aux ransomwares Egregor, Sodinokibi, DoppelPaymer et ProLock.

Mais jusqu’ici, les balises Cobalt Strike n’étaient pas déployées directement par Emotet : pouvaient suivre, après l’infection initiale, des charges malveillantes telles que Dridex, TrickBot, QakBot (ou Qbot), voire encore AZORult. Là encore, l’Anssi a documenté, fin 2020, de manière approfondie la « clientèle » d’Emotet et la cinétique des attaques l’impliquant.

La distribution directe de balises Cobalt Strike par l’epoch 5 d’Emotet peut contribuer à accélérer les attaques… et à réduire la fenêtre d’opportunité de détection de l’intrusion. Le collectif Cryptolaemus le souligne d’ailleurs clairement : « le jeu a changé et Ivan [sobriquet de l’opérateur d’Emotet, N.D.L.R.] a raccourci significativement le pipeline conduisant à l’exfiltration [de données] et au ransomware ». Car du coup, il n’y a plus « de Trickbot ou autre déchet intermédiaire », et l’attaquant passe « directement à Cobalt Strike et au déplacement latéral vers les contrôleurs de domaine et autres parties critiques du réseau ».

Tombé fin janvier à la suite d’une opération de police internationale, Emotet a fait son retour mi-novembre. Le code malicieux du botnet avait alors commencé par être distribué via Trickbot. C’était son epoch 4. Il a ensuite repris sa distribution autonome, son epoch 5.

En septembre 2020, les experts d’Advens, I-Tracing, et Intrinsec avaient livré, dans nos colonnes, leurs conseils pour prévenir et détecter une compromission avec Emotet, suivant une approche à plusieurs niveaux. Leurs recommandations apparaissent plus que jamais d’actualité.