Les sondes de détection des maliciels placées un peu partout sur les réseaux informatiques mondiaux ont dû frémir lorsqu’elles ont revu passer le maliciel le plus connu de l’histoire de l’informatique : Emotet. Plusieurs entreprises spécialisées dans la lutte cyber ont signalé ce retour, alors que la police pensait en avoir fini avec cette nuisanceil y a presque un an. En effet, en janvier dernier, Europol annonçait la fermeture des infrastructures de commandement et de contrôle d’Emotet, situées dans plus de 90 pays. Les autorités ont également arrêté deux membres ukrainiens de la bande responsables de la propagation de ce dernier.
Mais quelques mois après, le maliciel est à nouveau signalé. Le retour a été discret au départ comme le précisait à l’époque un communiqué de Proofpoint : « Les chercheurs de Proofpoint ont effectivement observé le retour d’Emotet, qui a envoyé des messages à des organisations gouvernementales, à but non lucratif et commerciales, principalement aux États-Unis et au Canada. Les cinq principaux secteurs ciblés incluent la finance, l’assurance, le transport, la technologie et l’industrie. Il ne s’agit pas de tests, mais bien de campagnes actives ». De son côté, CrowdStrike Intelligence confirme le retour du maliciel.
Un nouveau groupe à l’œuvre
L’éditeur donne quelques détails sur les présentes attaques. « Emotet est actuellement distribué via TrickBot, que nous associons à l’organisation cybercriminelle WIZARD SPIDER », explique-t-il. En somme, le démantèlement du groupe « Emotet » par Europole en janvier dernier n’a eu qu’un effet temporaire. « WIZARD SPIDER, est un groupe cybercriminels complexe dont l’arsenal comprend également des malwares tels que Ryuk, Conti, et Cobalt Strike. La prise de contrôle d’Emotet par WIZARD SPIDER témoigne de la résilience du milieu de la cybercriminalité et de son renforcement », conclut le communique de CrowStrike.
Avec cette « OPA » du groupe cybercriminel sur Emotet, il faut s’attendre à une recrudescence des campagnes d’hameçonnage. Les équipes de Vade, l’éditeur de solutions de protection des courriels, annoncent une augmentation de l’activité malveillante liée à Emotet. Elles ont détecté une augmentation significative des URL d’hameçonnage (+ 1500 URL) depuis la date de réapparition du maliciel. « Des Indicateurs de compromissions (liens piégés dans les emails) liés à Emotet sont bien présents dans de très nombreux emails », indiquent-ils.
« Se défendre nécessite une approche globale »
Pour Florent Embarek, Regional Sales DirectorSouthern&Eastern Europe chez BlackBerry : « Se défendre contre Emotet nécessite une approche globale. Il se propage à l’aide d’emails de phishing, d’un réseau authentifié et d’un accès sans fil compromis. Le seul moyen de se prémunir contre ce type d’attaques est de procéder à des contrôles. En évitant par exemple d’utiliser les configurations d’installation par défaut pour tout ce qui inclut les répertoires par défaut de Windows, la segmentation physique du réseau, les ports personnalisés quand cela est possible ou encore l’authentification multifactorielle ou basée sur l’identité. En sachant que tout ce qui se trouve sur le système ou le réseau peut être compromis, les modifications physiques seront plus efficaces. Enfin, un plan de triage doit être mis en place et exploité. Il faut se préparer méticuleusement pour pouvoir arrêter l’inarrêtable. Vous pouvez gagner la partie, à condition d’être attentif et de faire preuve de dextérité ».