Emotet Botnet refait surface via TrickBot

  • FrançaisFrançais



  • Emotet, un cheval de Troie bancaire devenu botnet qui se propage principalement par e-mail, a relevé la tête après une interruption de 10 mois. Emotet a fait la une des journaux lorsqu’Europol a annoncé que huit autorités répressives mondiales l’avaient perturbé dans le cadre de l’opération Ladybird.

    Abuse.ch a publié une liste de serveurs de botnet Command&Control (C&C), qui sont actuellement associés à Emotet et à d’autres logiciels malveillants.

    Comme observé cette fois, les acteurs de la menace qui s’appuient sur Emotet utilisent à nouveau TrickBot pour envoyer des chaînes de courriers indésirables contenant des pièces jointes et des liens malveillants. Dans le passé, TrickBot était à l’origine un cheval de Troie bancaire pour voler des informations financières sensibles via des attaques par force brute ou la collecte d’informations d’identification.

    La perturbation de 2021

    L’industrie a toutefois applaudi le retrait d’Emotet, avec quelques réserves. Les experts étaient ravis que l’action réussie puisse aider diverses organisations et plus d’un million de systèmes Microsoft Windows compromis par le malware Emotet. Mais le bonheur a été de courte durée.

    Les autorités chargées de l’application des lois avaient distribué un nouveau module Emotet sous la forme d’un EmotetLoader.dll 32 bits aux utilisateurs de tous les ordinateurs infectés afin de désinstaller automatiquement le malware. La nouvelle variante a été remarquée vers le 14 novembre 2021.

    Le chercheur en sécurité Luca Ebach de cyber.wtf, dans un article partagé : « Le dimanche 14 novembre, vers 21 h 26 UTC, nous avons observé sur plusieurs de nos trackers Trickbot que le bot tentait de télécharger une DLL sur le système. Selon le traitement interne, ces DLL ont été identifiées comme Emotet. Cependant, depuis que le botnet a été supprimé plus tôt cette année, nous étions méfiants quant aux résultats et avons effectué une première vérification manuelle. Actuellement, nous sommes convaincus que les échantillons semblent en effet être une réincarnation de l’infâme Emotet. »

    Parole d’expert

    Dans une exclusivité à CISO Mag sur la réémergence du malware Emotet, Adam Meyers, SVP of Intelligence, CrowdStrike a déclaré : « CrowdStrike Intelligence confirme le retour du malware Emotet tel que rapporté publiquement par les médias. De notre point de vue, il s’agit probablement d’une nouvelle version de MUMMY SPIDER’s Emotet. Cette évaluation porte une confiance modérée et est basée sur des similitudes de code étendues avec les versions antérieures d’Emotet ainsi que sur la relation de longue date de MUMMY SPIDER avec WIZARD SPIDER. Emotet est Adam Meyers, CrowdStrikeactuellement distribué via TrickBot, que nous associons au groupe d’adversaires eCrime : WIZARD SPIDER. Pour se protéger, il appartient vraiment aux organisations de s’assurer qu’elles identifient rapidement les hôtes compromis et qu’elles y remédient. Sur la base de nos recherches sur le temps de rupture, c’est-à-dire le temps qu’il faut à un adversaire pour se déplacer latéralement dans un environnement victime, les équipes de sécurité doivent détecter les menaces en moyenne en 1 minute, les comprendre en 10 minutes et les contenir en 60 minutes pour être efficaces à arrêter les brèches.

    Faisant également part de ses réflexions sur la renaissance du botnet, Lotem Finkelstein, directeur, Threat Intelligence and Research pour Check Point Software Technologies, a déclaré : Emotet, le botnet le plus performant de l’histoire du cyber fait son grand retour après le fameux arrêt de son exploitation mondiale il y a près de 10 mois. Emotet est responsable de l’explosion des ransomwares ciblés que nous avons vus au cours des trois dernières années et son retour pourrait conduire à une nouvelle augmentation de ces attaques. Il n’est pas surprenant que Trickbot et son infrastructure soient utilisés pour déployer le nouveau Emotet. Cela réduira non seulement le temps qu’il faudrait à Emotet pour s’implanter suffisamment dans les réseaux du monde entier, mais c’est aussi le signe que, comme autrefois, Trickbot et Emotet sont unis en tant que partenaires dans le crime.

    Lire aussi : Les intrusions augmentent de 60 % dans tous les secteurs : rapport CrowdStrike

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *