Danger pour les entreprises : Emotet, le logiciel malveillant le plus "dangereux du monde" est de retour

Le botnet et logiciel malveillant Emotet, le « plus dangereux du monde » d'après Europol, a montré des signes d'une nouvelle activité. Pourtant, les autorités internationales avaient démantelé l'intégralité de son infrastructure lors d'une opération inédite en janvier. Un retour sur le devant de la scène de l'organisation serait une nouvelle désastreuse pour les entreprises.
François Manens
(Crédits : Kacper Pempel)

C'était une grande victoire des autorités contre les cybercriminels : le 27 janvier 2021, une coalition menée par Europol réussissait à démanteler Emotet, le plus actif des "botnets". Ce terme désigne un ensemble de milliers, voire de centaines de milliers dans ce cas, de machines infectées par un malware (logiciel malveillant), que les cybercriminels peuvent contrôler depuis un même centre de commande. Ils s'en servent pour lancer des opérations massives comme des envois de phishings (des courriels piégés, Ndlr) ou des attaques par déni de service, qui consistent à surcharger un site de trafic Internet pour le faire tomber hors ligne.

Le botnet Emotet, lui, déployait aussi un logiciel malveillant du même nom, particulièrement virulent, capable de voler toutes sortes d'informations sur les ordinateurs de ses victimes. Actif pendant près de 6 ans, l'organisation prenait de plus en plus de place dans l'écosystème cybercriminel, et s'était imposée comme l'une des principales menaces pour les entreprises, au point que Europol lui avait attribué le titre officieux de « logiciel malveillant le plus dangereux du monde ». Son démantèlement avait donc offert une trêve grandement espérée aux équipes de sécurité. Mais elle fut de courte durée : selon plusieurs sources repérées par The Record, Emotet tente de reconstruire son botnet à peine 10 mois après le démantèlement. S'il y parvient, il pourrait relancer ses campagnes d'attaques, et redéployer à grande échelle son logiciel malveillant.

Très mauvaise nouvelle pour les entreprises

L'alerte provient du compte Twitter Cryptolaemus, spécialisé dans la veille sur les activités d'Emotet, et alimenté par une vingtaines d'experts. D'après eux, Emotet s'appuie sur une autre organisation cybercriminelle, TrickBot, pour infecter de nouvelles machines et ainsi recréer son botnet. Encore relativement petite, son infrastructure lui a tout de même permis de lancer une première campagne d'emails malveillants, dans la nuit du 15 au 16 novembre.

Lire aussi 10 mnRançongiciel : peut-on réellement casser les réseaux des cybercriminels ?

Cette tentative de retour pourrait surprendre : Europol avait mis la main sur les centaines d'ordinateurs qui servaient de centres de commande au botnet, afin de démanteler l'infrastructure de l'intérieur. Pour garantir sa disparition, les autorités avaient même programmé une désinstallation automatique du malware Emotet sur toutes les machines infectées. Rarement un botnet n'avait été frappé aussi lourdement. En revanche, les forces de l'ordre n'avait pas pu arrêter toutes les têtes de l'organisation.

Si les experts ne s'attendaient pas forcément à un retour, il n'espéraient cependant pas plus qu'un court répit après l'opération policière. Car le marché cybercriminel fonctionne sur les mêmes principes qu'un marché normal : si la demande existe, des acteurs vont l'adresser. La question était plutôt de savoir qui prendrait les parts de marché laissées par Emotet, et si le gang pouvait proposer une nouvelle offre avant qu'un autre acteur ne s'impose.

Emotet avait trouvé ces dernières années une activité particulièrement lucrative : il s'était spécialisé dans l'obtention et la revente d'accès aux réseaux informatiques de ses victimes. Ses principaux acheteurs ? Les gangs de rançongiciel, qui utilisaient l'accès initial fourni par le botnet pour déployer leurs logiciels malveillants capables de paralyser des entreprises pendant plusieurs semaines. Le retour d'Emotet serait donc une double peine pour les entreprises, qui devraient faire face à Emotet lui-même d'une part, et à des attaques de rançongiciel plus nombreuses d'autre part.

Lire aussi 3 mnComment Microsoft compte limiter les cyberattaques contre sa messagerie Exchange

François Manens
En direct - Transition Forum 2022

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 16/11/2021 à 18:35
Signaler
Mais c'est parfait ça! Pour ceux qui veulent gérer des conséquences mais pas supprimer la cause!

à écrit le 16/11/2021 à 9:32
Signaler
Et donc personne n'a trouvé une solution pour le faire sauter alors qu'il est connu de tous ? Et toutes ces entreprises de "cybersécurité" elles servent à quoi ? Et les milliards investi chaque année sur cette même sécurité connaissant une croissance...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.