Dossier cybersécurité: le malware Emotet

Emotet a été découvert en 2014 et est vite devenu le botnet* “le plus dangereux de la décennie” selon certains.

Pourquoi on en parle ?
Interrogation malware Emotet

En 2020, les attaques par Emotet ont fortement augmenté, c’est pourquoi une action a été menée afin d’y mettre fin. 

Début 2021, les forces de l’ordre de 8 pays se sont réunies et ont réussi à prendre le contrôle des serveurs physiques de Emotet. Les différentes machines infectées sont aujourd’hui redirigées vers des serveurs contrôlés par les autorités. 

Selon l’annonce d’Europol, Emotet était constitué de plusieurs centaines de serveurs, permettant de gérer les ordinateurs déjà infectés et d’en infecter d’autres. L’objectif était également de rendre le réseau plus résistant aux différentes tentatives de démantèlement.

Les origines
Cheval de Troie (malware)

Cheval de troie bancaire à l’origine, Emotet recueillait des données sensibles grâce au trafic internet de ses victimes. Il est passé du recueil de données et de l’envoi de spam en 2014, à l’ouverture permettant l’implantation d’autres malwares dès 2017. Logiciel furtif depuis 2015, Emotet récupère aujourd’hui tous types de mots de passe et constitue une “porte ouverte” sur un ordinateur ou un réseau. 

Véritable malware composé de modules, Emotet permet notamment l’infection par d’autres malwares, dont le très connu rançongiciel (ransomware) Ryuk*.

Les victimes
Spam (malware)

Emotet se propage à travers des spams (e-mails frauduleux) contenant des fichiers ou des liens compromis. Ces fichiers peuvent aussi bien être du code (Javascript) que des documents texte, tableur ou PDF. 

Lorsque votre compte mail est piraté, Emotet envoie des mails en votre nom à vos contacts. Ces mails semblent à première vue parfaitement légitimes, mais contiennent eux-aussi des fichiers corrompus. Lorsque vous recevez un mail dont l’objet est précédé de plusieurs “Re:”, cela peut-être un signe qu’il est frauduleux.

Emotet attaque aussi bien les administrations, les particuliers et les entreprises, ce qui contribue à son image de logiciel les plus dangereux de la décennie.

La propagation
Hameçonnage (malware)

Le logiciel Emotet est polymorphe, ce qui le rend beaucoup plus difficilement détectable. Il n’est néanmoins pas totalement impossible de le repérer et de le supprimer.

Sa rapidité de propagation dans des ordinateurs reliés à un même réseau participe grandement à sa dangerosité. En effet, Emotet se propage comme un vers et atteint les autres ordinateurs du réseau en découvrant leurs mots de passe grâce à des attaques par force brute*.

Détection et suppression
Logo ICV 37

De nos jours, plusieurs outils permettent de détecter Emotet, mais sa suppression reste compliquée. Seule une réinstallation complète de la machine infectée permet de s’assurer de la disparition totale du malware.

Chez ICV 37, nous vous proposons ces réinstallations. Nous vous proposons également des abonnements antivirus Dr.Web afin de limiter les possibilités d’infection par différents malwares. Notre équipe est à votre écoute pour toute demande de renseignements au 02 46 46 97 30 ou à l’adresse tours.icv@gmail.com.

Vocabulaire

* Botnet : un botnet est un réseau d’ordinateurs dits “zombis” qui communiquent entre eux afin de réaliser certaines tâches répétitives. Avant d’être utilisés pour la propagation de malware (cyberattaques par exemple), ils servaient notamment à modérer les forums en ligne.

* Ryuk: c’est l’un des ransomware (rançongiciel) les plus actifs et dangereux en ce moment. Il chiffre les données de la victime et demande le paiement d’une rançon (d’où le nom de ce type de malware) afin de déchiffrer les données. Ces sommes sont demandées en Bitcoin et sont généralement astronomiques. 

* Attaque par force brute : cette attaque consiste à tenter toutes les combinaisons possibles de mots de passe l’une après l’autre, afin de se connecter à l’ordinateur ou au service recherché. Dans le cas d’Emotet, le logiciel essaie tous les mots de passe les plus courants contenus dans une « bibliothèque ». Afin d’éviter ce genre d’attaques, le plus simple reste d’utiliser des mots de passe complexes, mélangeant minuscules, majuscules, chiffres et caractères spéciaux.

Sources

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/

https://fr.malwarebytes.com/emotet/

https://www.usine-digitale.fr/article/au-coeur-de-la-cybercriminalite-internationale-le-botnet-emotet-a-ete-demantele.N1054064

https://www.cnil.fr/fr/definition/force-brute-attaque-informatique

https://cyberguerre.numerama.com/9932-la-police-abat-emotet-le-logiciel-malveillant-le-plus-dangereux-du-monde.html