Les autorités de toute l’Europe ont déclaré mardi qu’elles avaient pris le contrôle de émoticône, une souche prolifique de logiciels malveillants et une opération de cybercriminalité en tant que service. Les enquêteurs disent que l’action pourrait aider à mettre en quarantaine plus d’un million Microsoft Windows systèmes actuellement compromis par des logiciels malveillants liés aux infections Emotet.
Apparu pour la première fois en 2014, Emotet a commencé comme un cheval de Troie bancaire, mais au fil des ans, il est devenu l’une des plates-formes les plus agressives pour la propagation de logiciels malveillants qui jette les bases d’attaques de ransomwares.
Dans une déclaration publié mercredi matin sur une action baptisée «Opération Coccinelle», l’agence européenne de police Europol a déclaré que l’enquête impliquait des autorités aux Pays-Bas, en Allemagne, aux États-Unis, au Royaume-Uni, en France, en Lituanie, au Canada et en Ukraine.
« L’infrastructure EMOTE a essentiellement agi comme un ouvre-porte principal pour les systèmes informatiques à l’échelle mondiale », a déclaré Europol. « Une fois cet accès non autorisé établi, ceux-ci ont été vendus à d’autres groupes criminels de haut niveau pour déployer d’autres activités illicites telles que le vol de données et l’extorsion par le biais de ransomwares. »
Les experts disent qu’Emotet est un botnet payant par installation qui est utilisé par plusieurs groupes de cybercriminels distincts pour déployer des logiciels malveillants secondaires, notamment la souche de ransomware Ryuk et Trickbot, un puissant cheval de Troie bancaire. Il se propage principalement via des liens malveillants et des pièces jointes envoyées via des comptes de messagerie compromis, diffusant quotidiennement des dizaines de milliers de missives contenant des logiciels malveillants.
Emotet s’appuie sur plusieurs niveaux hiérarchiques de serveurs de contrôle qui communiquent avec les systèmes infectés. Ces contrôleurs coordonnent la diffusion de logiciels malveillants de deuxième étape et le vol de mots de passe et d’autres données, et leur nature distribuée est conçue pour rendre l’infrastructure des logiciels criminels plus difficile à démanteler ou à réquisitionner.
Dans une déclaration distincte sur la prise de contrôle des logiciels malveillants, la police nationale néerlandaise a déclaré que deux des trois serveurs principaux étaient situés aux Pays-Bas.
« Une mise à jour logicielle est placée sur les serveurs centraux néerlandais pour tous les systèmes informatiques infectés », ont écrit les autorités néerlandaises. « Tous les systèmes informatiques infectés y récupéreront automatiquement la mise à jour, après quoi l’infection Emotet sera mise en quarantaine. Une action simultanée dans tous les pays concernés était nécessaire pour pouvoir démanteler efficacement le réseau et contrecarrer toute reconstruction.
UNE déclaration de l’Office fédéral allemand de la police criminelle au sujet de leur participation à l’opération Ladybird a déclaré que les procureurs avaient saisi 17 serveurs en Allemagne qui agissaient en tant que contrôleurs d’Emotet.
« Dans le cadre de cette enquête, divers serveurs ont été initialement identifiés en Allemagne avec lesquels le logiciel malveillant est distribué et les systèmes victimes sont surveillés et contrôlés à l’aide d’une communication cryptée », a déclaré la police allemande.
Des sources proches de l’enquête ont déclaré à BreachTrace que l’action des forces de l’ordre comprenait l’arrestation de plusieurs suspects en Europe soupçonnés d’être liés au gang de logiciels criminels. Le noyau dur des criminels à l’origine d’Emotet est largement considéré comme opérant depuis la Russie.
Un communiqué de la police nationale ukrainienne indique deux citoyens ukrainiens ont été identifiés « qui a assuré le bon fonctionnement de l’infrastructure de propagation du virus et maintenu son bon fonctionnement ».
UNE vidéo publiée sur YouTube par le NPU ce matin montre que les autorités ont fait une descente dans une maison, saisi de l’argent et du matériel informatique, et ce qui semble être de nombreux gros lingots d’or ou peut-être d’argent. Le policier ukrainien s’exprimant dans cette vidéo a déclaré que les escrocs derrière Emotet avaient causé plus de 2 milliards de dollars de pertes dans le monde. C’est presque certainement un nombre très conservateur.
La police des Pays-Bas a saisi d’énormes volumes de données volées par les infections Emotet, notamment des adresses e-mail, des noms d’utilisateur et des mots de passe. Un outil sur le site Web de la police néerlandaise permet aux utilisateurs de savoir si leur adresse e-mail a été compromise par Emotet.
Mais comme Emotet est généralement utilisé pour installer des logiciels malveillants supplémentaires qui pénètrent profondément dans les systèmes infectés, le nettoyage après cela sera beaucoup plus compliqué et peut nécessiter une reconstruction complète des ordinateurs compromis.
le Agence américaine de cybersécurité et de sécurité des infrastructures a étiqueté Emotet « l’une des menaces continues les plus répandues » qui est difficile à combattre en raison de ses fonctionnalités « ressemblant à des vers » qui permettent des infections à l’échelle du réseau. Par conséquent, une seule infection Emotet peut souvent entraîner la compromission de plusieurs systèmes sur le même réseau.
Il est trop tôt pour dire à quel point cette opération a été efficace pour prendre le contrôle total d’Emotet, mais un retrait de cette ampleur est une action importante.
En octobre, Microsoft utilisé le droit des marques pour perturber le botnet Trickbot. Vers la même époque, le Cyber Command américain a également visé Trickbot. Cependant, aucune de ces actions n’a complètement démantelé le réseau de logiciels criminels, qui reste opérationnel aujourd’hui.
Roman Hüssyun expert suisse des technologies de l’information qui maintient Feodotracker – un site qui répertorie l’emplacement des principaux contrôleurs de botnet – a déclaré à BreachTrace qu’avant le 25 janvier, quelque 98 serveurs de contrôle Emotet étaient actifs. Le site répertorie désormais 20 contrôleurs Emotet en ligne, bien qu’il ne soit pas clair si l’un de ces serveurs restants a été réquisitionné dans le cadre de l’effort de quarantaine.
Une liste actuelle des serveurs de contrôle Emotet en ligne. Source : Feodotracker.abuse.ch
Lecture complémentaire : L’équipe Cymru sur la suppression d’Emotet