Emotet est à la fois un botnet, un réseau contrôlé de périphériques infectés utilisés pour des attaques sur d’autres appareils, et un malware capable d’extraire différents types de données, souvent d’ordre financier, des appareils infectés. Opéré par des acteurs malveillants expérimentés, il est devenu l’un des principaux acteurs de l’écosystème du cybercrime. Emotet a été démantelé à la suite d’actions communes des forces de l’ordres de différents pays en janvier 2021. Néanmoins, le botnet est réapparu en novembre 2021 et n’a cessé d’accroitre ses activités depuis. D’abord, en se propageant via Trickbot, un différent réseau de bots, et maintenant par lui-même au moyen de différentes campagnes de spam malveillantes. La télémétrie Kaspersky a montré que le nombre de victimes a considérablement augmenté en passant de 2848 en février 2022 à 9086 en mars 2022, attaquant ainsi plus de 3 fois plus d’utilisateurs. Le nombre d’attaques détectées par des solutions Kaspersky a augmenté parallèlement – passant ainsi de 16897 en février à 48597 en mars.
Une infection type d’Emotet débute par des emails de spam qui contiennent des pièces jointe Microsoft Office contenant une macro malveillante. À l'aide de cette macro, l'acteur peut lancer une commande PowerShell malveillante pour déposer et lancer un chargeur de module, qui peut ensuite communiquer avec un serveur de commande et de contrôle pour télécharger et lancer des modules. Ces modules peuvent effectuer une variété de tâches différentes sur l'appareil infecté. Les chercheurs de Kaspersky ont pu récupérer et analyser 10 des 16 modules, la plupart ayant été utilisés par Emotet dans le passé sous une forme ou une autre.
La version actuelle d’Emotet peut créer des campagnes de spams automatisées qui se propagent ensuite sur le réseau depuis les appareils infectés, en extrayant les courriels et les adresses électroniques des applications Thunderbird et Outlook et en collectant les mots de passe des navigateurs web les plus populaires tels qu’Internet Explorer, Mozilla Firefox, Google Chrome, Safari et Opera afin de recueillir les données des comptes de divers clients de messagerie. "Emotet était un réseau très avancé redouté par de nombreuses organisations dans le monde. Son arrestation a constitué une étape importante dans la diminution des menaces à l'échelle mondiale en permettant de démanteler son réseau et en le retirant de la liste des principales menaces pendant plus d'un an. Bien que le nombre d'attaques ne soit pas comparable à l'ampleur précédente des opérations d'Emotet, le changement de dynamique indique une activation significative des opérateurs du botnet et une forte probabilité d’augmentation de la propagation de cette menace dans les mois à venir", commente Alexey Shulmin, chercheur en sécurité chez Kaspersky. Regardez notre documentaire sur le démantèlement d’Emotet sur Tomorrow Unlocked Découvrez-en plus sur les modules d’Emotet sur Securelist Pour aider les entreprises à se protéger d’Emotet et des botnets similaires, les experts suggèrent de prendre les mesures suivantes le plus rapidement possible :
À propos de
Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.