Un grand jour dans la lutte contre la cybercriminalité mondiale. Europol, avec le soutien d'une coalition de plusieurs forces de police (Police Nationale en France, FBI aux Etats-Unis...) a annoncé avoir pris le contrôle de l'infrastructure sur laquelle repose et est distribué le puissant autant que redouté trojan Emotet. Actif depuis 2014, ce malware dispose de trois modules pour récupérer des mots de passe stockés dans des navigateurs, voler des contenus et pièces jointes de courriels ainsi que des listes de contacts, et se propager dans un réseau infecté en exploitant des vulnérabilités SMB.

Parmi les victimes d'Emotet en France, on trouve notamment le Tribunal de Paris mais de très nombreuses autres entreprises et administrations ont fait les frais de ce redoutable code ces derniers mois, comme a pu l'indiquer en septembre 2020 un bulletin d'alerte du CERT-FR et également l'ANSSI. A l'origine utilisé par les cybercriminels en tant que cheval de Troie bancaire, ce logiciel a depuis été largement employé pour distribuer des codes malveillants tiers via des réseaux d'ordinateurs piégés et contrôlés par des pirates (botnets) comme Qbot, Trickbot, IcedID, GootKit, BokBot, Dridex et DoppelDridex.

Un réseau de plusieurs centaines de serveurs démantelés

« L'infrastructure utilisée par Emotet impliquait plusieurs centaines de serveurs situés à travers le monde, tous ayant des fonctionnalités différentes afin de gérer les ordinateurs des victimes infectées, de se propager à de nouveaux, de servir d'autres groupes criminels, et finalement rendre le réseau plus résistant aux tentatives de neutralisation », explique Europol dans son communiqué. « Les machines infectées des victimes ont été redirigées vers cette infrastructure contrôlée par les forces de l'ordre. Il s'agit d'une approche unique et nouvelle pour perturber efficacement les activités des facilitateurs de la cybercriminalité ».

Pour rappel, Emotet utilisait une technique redoutable basée sur l'exploitation d'archives de conversations : « Une fois compromise la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même), le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. Ces courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires », avait eu l'occasion de prévenir le CERT-FR.

A noter que la police néerlandaise a mis en ligne un service pour savoir si son adresse e-mail s'est retrouvé dans les griffes d'Emotet, accessible à cette adresse. Espérons que les pirates ne parviennent pas à en prendre le contrôle. Car en cybersécurité, le jeu du chat et de la souris n'est qu'un éternel recommencement.