Ces dernières années, le botnet malveillant Emotet s’est constamment classé en tête du classement des menaces cybernétiques les plus dangereuses. Désormais, le malware, qui se propage comme un cheval de Troie depuis 2014, a été rendu inoffensif dans le cadre d’une action concertée d’Europol et du BKA. Qu’est-ce que cela signifie pour la situation actuelle de menace ? Le risque de cyberattaques est-il désormais plus faible ? Oui et non, car il y a d’innombrables autres attaquants et cybercriminels qui rôdent.

Aussi récemment que l’année dernière, ce malware notoire dominait le « Global Threat Index 2020 » en tant que malware actuellement le plus dangereux. Près de 20 % de toutes les entreprises allemandes ont été touchées par cette situation en décembre. Une campagne de spam infectée par Emotet a tué 100 000 autres utilisateurs l’été dernier. Par exemple, Emotet avait entraîné la perte totale de l’informatique devant la Cour d’appel de Berlin. Le tribunal a dû être déconnecté du réseau d’État berlinois. Le malware avait également causé d’importants dégâts à la clinique Fürth et à l’administration municipale de Francfort-sur-le-Main – ainsi qu’à des dizaines de milliers de particuliers. Selon les enquêteurs, des dégâts d’au moins 14,5 millions d’euros ont été causés rien qu’en Allemagne.

Ouvre-porte pour d’autres logiciels malveillants

Ce qui est perfide avec Emotet, c’est que le malware sert d’ouvreur de porte à d’autres malwares. Ainsi, non seulement cela a volé des données, mais cela a aussi ouvert la porte dérobée à davantage de malwares. Autrefois utilisé comme cheval de Troie bancaire, Emotet a récemment servi davantage de propagateur d’autres programmes malveillants ou de campagnes entières. Il utilisait diverses méthodes pour rester opérationnel et connaissait des techniques d’évitement pour éviter d’être détecté.

« Au fond, l’infrastructure ‘Emotet’ fonctionnait comme un premier ouvreur de porte vers les systèmes informatiques à l’échelle mondiale », a déclaré l’agence. « Le système a pu infecter des réseaux entiers d’une manière unique, simplement en accédant à quelques appareils. » Le système était piraté via un document Word, souvent déguisé en pièce jointe inoffensive à un e-mail ou même en lien, a décrit Europol.

Une fois l’accès illégal réussi, il a été vendu à des cybercriminels. Ces derniers pourraient à leur tour infiltrer leurs propres chevaux de Troie afin d’obtenir des données bancaires, de revendre les données capturées ou d’extorquer une rançon pour des données bloquées.

BKA : Infrastructure d’Emotet sous contrôle et destruction

Mercredi dernier, les activités du cheval de Troie étaient terminées : le Bureau fédéral de la police criminelle (BKA) et le bureau du procureur de Francfort ont annoncé que les enquêteurs allemands et un groupe international d’enquêteurs avaient réussi à rendre le logiciel criminel inoffensif dans le cadre d’une action concertée. L’autorité policière Europol a annoncé que l’infrastructure mondiale sur plusieurs centaines d’ordinateurs avait d’abord été maîtrisée puis détruite. L’opération dura plus de deux ans. Elle a été menée sous la direction allemande et néerlandaise avec des enquêteurs venus de huit pays au total. Le démantèlement a été réalisé conjointement avec les autorités de maintien de l’ordre des Pays-Bas, d’Ukraine, de Lituanie, de France, de Grande-Bretagne, du Canada et des États-Unis, selon la BKA.

Les enquêteurs avaient d’abord identifié divers serveurs en Allemagne où le malware était distribué, puis d’autres dans d’autres pays européens. Rien qu’en Allemagne, les enquêteurs ont saisi 17 serveurs jusqu’à présent. En Ukraine, les procureurs ont d’abord pris le contrôle de l’infrastructure d’Emotet auprès de l’un des exploitants présumés. En conséquence, selon le communiqué de presse, « il a été possible de rendre le malware sur les systèmes allemands concernés inutilisable pour les auteurs ». Cela signifie que là où Emotet avait déjà pénétré un système, le malware a été déplacé pour qu’il ne puisse plus causer de dommages. De plus, il ne pouvait communiquer qu’avec des serveurs exploités pour préserver les preuves.

« Malware-as-a-Service »

Emotet était l’un des « instruments les plus dangereux pour les cyberattaques » ces dernières années, a déclaré une porte-parole d’Europol. Le modèle économique criminel d’Emotetet peut être décrit comme un « malware en tant que service ». Elle a servi de base à des cyberattaques ciblées pour d’autres criminels.

« Les autorités policières ont réussi à prendre le contrôle de l’infrastructure », déclare Monika Bubela, spécialiste de la cybersécurité chez Perseus, en décrivant l’accès des autorités enquêteures, « cela signifie que les ordinateurs infectés sont désormais transmis aux autorités policières et non aux criminels. Pour faire simple, les criminels ont perdu l’accès à l’infrastructure infectée et la propagation ultérieure du malware a été empêchée. La police néerlandaise a également réussi à récupérer une base de données d’emails volés, permettant aux utilisateurs de vérifier si leurs emails ont été affectés. »

Le risque de cyberattaques a-t-il désormais diminué considérablement ?

« L’importance de ce coup porté aux cybercriminels est très grande, car Emotet était l’un des malwares les plus actifs et difficiles à éliminer et à propager facilement », a déclaré Bubela, « donc Emotet est ‘pacifié’ et mis en attente pour le moment, il ne représente plus une menace. »

Du moins pour le moment : il est tout à fait possible qu’Emotet ait téléchargé d’autres malwares dans le système infecté à temps. Et ils pourraient rester actifs. L’affaire « Trickbot » a également montré que la fermeture de l’infrastructure ne signifie pas nécessairement la fin des activités criminelles : paralysée en octobre, la banque de Troie était de nouveau active seulement quatre semaines plus tard.

Cela signifie-t-il qu’Emotet est enfin terminé ?

Aussi Le président de la BSI, Schönbohm, ne considère pas encore Emotet comme un problème résolu. « Si vous recevez des informations de votre fournisseur concernant une infection Emotet de vos systèmes, veuillez les prendre au sérieux », dit-il, faisant référence à l’aide de son autorité.

« Nettoyez vos systèmes ! Si Emotet a infecté vos systèmes, nous devons supposer que d’autres malwares ont réussi à faire de même. »

La question est de savoir si les opérateurs d’Emotet – à condition qu’ils ne soient pas emprisonnés – construisent une nouvelle infrastructure. Cette reconstruction coûterait au moins beaucoup de temps – et d’argent. Ainsi, ce coup concentré contre la cybercriminalité a au moins offert un répit.