Comment Emotet est-il devenu le malware le plus dangereux au monde ?

Publié le 20 novembre 2021 à 18h18

Après avoir été démantelé dans une opération réalisée par plusieurs pays en janvier, Emotet est semble-t-il de retour. Pourquoi ce malware est-il si redouté ? Quelles étaient ses actions avant son arrêt ? Pourquoi était-il considéré comme le malware le plus dangereux au monde ?

Détecté en 2014, Emotet a connu plusieurs évolutions avant de devenir le malware redouté et redoutable qui a semé la destruction. Il se distinguait particulièrement par sa capacité à échapper à la détection, à se modifier constamment, à obtenir des informations et à les utiliser intelligemment dans des campagnes automatisées, ainsi que par son utilisation en tant que malware-as-a-service, dont les services étaient loués à d’autres attaquants pour distribuer leurs propres malwares et ransomwares.

Du trojan bancaire au dropper

#VariantDelta

Emotet a été détecté pour la première fois en 2014. À cette époque, il était utilisé comme un cheval de Troie bancaire visant principalement des banques allemandes, autrichiennes et suisses. Il se contentait de récupérer des informations bancaires en interceptant le trafic Internet, avant de rapidement ajouter la possibilité de faire des transferts d’argent automatiquement à son arsenal, lui permettant de viser des comptes clients directement. Avec sa troisième version, le malware était capable de rester dissimulé sur les systèmes, ce qui lui permit d’étendre son champ d’attaque.

Mais Emotet a réellement commencé à faire parler de lui en 2017, avec l’évolution de son utilisation. En plus de conserver sa capacité à récupérer des informations, le malware est devenu ce qu’on appelle un dropper. Il était désormais capable de distribuer des malwares supplémentaires. Ses créateurs lui aussi ont ajouté des fonctionnalités lui permettant de se comporter comme un ver informatique. Il se propageait sur les réseaux auxquels étaient connectés les ordinateurs de ses victimes et utilisait le bruteforce pour trouver des mots de passe et accéder à d'autres systèmes. À partir de ce moment-là, Emotet est passé de « simple » trojan bancaire à menace sérieuse.

Le « malware le plus dangereux au monde »

- Alors comme ça t'as été élu l'homme le plus classe du monde ?

Dans sa nouvelle version, Emotet était utilisé de deux façons. En tant que malware classique, afin de gagner un accès persistant pour récupérer des informations sensibles comme des mots de passe, les listes de contacts d'adresses mail, le contenu des mails et les pièces jointes envoyés par ses victimes, et pour continuer à se propager dans le réseau. Mais il était également utilisé comme malware-as-a-service. Une fois un accès obtenu, Emotet pouvait télécharger et installer d'autres malwares, dans un principe de "vente" de l'accès récupéré à d'autres acteurs malveillants. Si de nombreux trojans différents ont été propagés de cette façon au cours des années d’activité d’Emotet, deux d’entre eux étaient particulièrement utilisés et redoutés : TrickBot et QBot.

Ces deux trojans bancaires possèdent comme Emotet la capacité de se déplacer latéralement sur un réseau et de récupérer des informations confidentielles à utiliser dans de futures campagnes. Mais ils sont également utilisés comme dropper, cette fois pour distribuer des ransomwares. TrickBot est connu pour distribuer les ransomwares Ryuk et Conti, tandis que Qbot propageait ProLock.

Pour résumer, être infecté par Emotet signifiait que tous les appareils du réseau pouvaient être compromis, que des informations étaient récupérées aussi bien par le malware que par ceux qu’il propageait et qu’un ransomware pouvait être installé sur le système. Certains appareils étaient en plus ajoutés à un botnet et utilisés dans des campagnes d’hameçonnage importantes pour infecter de nouvelles machines. On peut également souligner sa capacité à éviter la détection par les logiciels antivirus grâce à la modification constante son code. Emotet méritait donc bien son surnom de « malware le plus dangereux au monde ».

Une distribution massive et personnalisée

- La famille ça va ?
- Ça va, ça va, Emotet…

Emotet était distribué lors de campagnes d’hameçonnage, sous la forme d’un document Word, d’un PDF ou d’un téléchargement à effectuer sur un site. À partir d’avril 2019, le malware a commencé à utiliser les informations récupérées auparavant, notamment celles ayant trait aux emails, et a lancé des campagnes d’hameçonnage agressives, en utilisant une technique connue sous le nom de détournement de fils de discussions par email.

À l’aide des contacts et fils de discussions récupérés précédemment, Emotet a pu automatiser la création de mails de phishing plus personnalisés. Ces mails se faisaient passer pour une réponse à un fil précédent entre la victime et l’un de ses contacts, en mettant dans le corps du mail les anciennes discussions récupérées lors de l’attaque et en gardant le même sujet de mail auquel était ajouté le préfix "Re:". Dans certains cas, les anciennes pièces jointes étaient également ajoutées pour plus de légitimité. Cependant, ces mails n’étaient pas envoyés à partir de l’adresse mail compromise mais à partir de l’infrastructure des attaquants et d’adresses créées pour l’occasion et typosquattées.

Pour envoyer ces mails, Emotet pouvait s’appuyer sur son immense réseau d’ordinateurs infectés, qui lui permettait de mener des campagnes massives pouvant aller jusqu’à 250 000 messages envoyés par jour, comme détecté en juillet 2020. Aussi bien des entreprises et des organisations que des particuliers en étaient victimes et ce, dans le monde entier.

La fin et le retour d’Emotet

Emotet : resurrections

Le 27 janvier 2021, Europol a annoncé avoir réussi à prendre le contrôle du botnet Emotet grâce à une action internationale coordonnée entre les autorités de plusieurs pays, dont la France. En dirigeant désormais l’infrastructure, les autorités ont empêché l’installation de malwares supplémentaires et ont pu distribuer massivement un nouveau module aux ordinateurs infectés pour désinstaller automatiquement Emotet le 25 avril 2021.

Mais si Emotet avait pu être stoppé, TrickBot continuait ses activités. Le 15 septembre 2021, des signes de regain d’activité d’Emotet ont été repérés par Cryptolaemus, un groupe de chercheurs spécialisé dans la lutte contre le malware. Cette fois, à l’inverse de ce qui avait pu se faire dans le passé, TrickBot est utilisé pour distribuer une version améliorée d’Emotet, et tenter de reconstruire le botnet. L’activité reste pour le moment discrète mais de nouveaux documents infectés commencent à être propagés. Si l’infrastructure d’Emotet arrive à être reconstruite, plusieurs spécialistes, dont Vitali Kremez d’Advanced Intel, préviennent que les infections par des ransomwares risquent de se faire beaucoup plus nombreuses. Le 15 novembre, plus de 246 appareils avaient déjà été infectés.

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

pecore

Très intéressant et limite flippant.

Vttiste

Intéressant que les gouvernements en ont pris le controle avec un supposé effacement automatique vu ce quil se passe actuellement (mensonge a chaque intervention) jai un doute

Cynian90

En lisant ce genre de news, on a tendance à s’imaginer des groupes criminels ultra sophistiqués, alors que la réalité est tout autre, il suffit de se promener sur quelques forums, même sur le clearnet, pour s’acheter des installations de ce type. Je pourrais moi-même installer une dizaine de trojans et espionner quelques webcams en quelques clics et quelques $ en Bitcoin. Ce sont des gugusses comme vous et moi qui ont pris goût à des pratiques hors normes.

benben99

C’est clair qu’on devrait soupçonner les USAs. C’est trop louche qu’ils ne sont pas attaqués

Cynian90

Faut être sacrément limité pour croire que les US joue ce genre de petits jeux, les banques US sont juste beaucoup plus difficiles à attaquer parce que le gouvernement américain peut opérer sur la terre entière aisément, ça vaut pas la peine de les voler. Il est beaucoup plus difficile aux Etats-Unis de faire ce genre de projets contraires à l’éthique, parce que l’Américain lambda a des valeurs contrairement au Chinois lambda dont la vie tourne autour de l’argent.

dFxed

Fondé sur quoi ? Votre intuition au doigt mouillé ?
De temps en temps, il faut savoir accepter les choses, et arrêter de les remettre systématiquement en question, uniquement parce qu’elle viennent d’un tiers dont on ne cautionne pas toutes les décisions.

comtezer0

Article bidon servant de faire valoir pour une pub antivirus à la fin.

benben99

Le pire est qu’avec Windows Defender il est de nos jours inutile d’avoir un anti-virus payant car ils font généralement a peine.mieux

rexxie

Les USA sont un modèle d’ingérence internationale, ces cowboys n’ont ni foi ni loi. Historiquement, ce sont les plus aventuriers, les plus assoiffés de pognon parmi les Européens qui ont envahi le territoire américain et massacré les Indiens.

Les « conseillers » de la CIA, grâce aux techniques de propagande, investissent et soulèvent des populations contre leurs leaders légitimes, pour y mettre leurs pantins. Pas mal moins cher qu’une guerre, mais combien sournois. Injecter des trojans et autres moyens d’espionnage doit faire partie du cours de base de l’agent débutant.

Ceci dit, faut pas croire notre propre propagande médiatique occidentale hein? C’est pas parce que la lectrice du journal est sympathique que c’est vrai… Ni aux USA, ni en Chine, en Russie, au Luxembourg ou ailleurs, la population en général est une bande de pervers tel que tu insinues. M. et Mme Tout-Le-Monde sont… comme tout le monde, des gens qui aiment et haïssent, qui veulent être confortables et prospères dans le cadre des lois de son pays.
Il y en a partout des individus sans morale, mais il y en a bien plus avec morale qui veulent vivre et laisser vivre.