Suite à une démarche similaire aux États-Unis, Europol prépare un coup de gras pour la dépouille d’Emotet

  • FrançaisFrançais


  • Dimanche, Europol mettra fin à un processus de trois mois de démantèlement du botnet Emotet en déclenchant un .dll activé par le temps pour supprimer les logiciels malveillants des systèmes. (Europol)

    Dimanche, Europol mettra fin à un processus de trois mois de démantèlement du botnet Emotet. Un fichier .dll activé par le temps envoyé aux machines victimes supprimera les logiciels malveillants des systèmes.

    Avant le déménagement d’Europol, les professionnels de la sécurité en font l’éloge comme une étape nécessaire qui, si tout se passe bien, se produira sans que les individus ne le sachent. Mais cette décision pourrait avoir des effets secondaires intéressants sur la sécurité, y compris sur la criminalistique.

    «Les RSSI qui ne sont pas au courant de l’existence d’Emotet sur leurs réseaux ne remarqueront probablement pas sa suppression», a déclaré Austin Merritt, analyste du renseignement sur les cybermenaces chez Digital Shadows.

    Bien sûr, l’annulation finale d’Emotet intervient deux semaines après qu’une opération similaire du FBI ait envoyé une commande de mise à mort à des centaines de serveurs Microsoft Exchange, ordonnant aux shells Web de se supprimer eux-mêmes. Mais il existe des différences de subtilité et de portée.

    Lorsqu’Europol a annoncé le retrait d’Emotet en janvier, il a immédiatement commencé à envoyer le fichier delete .dll, donnant aux organisations un délai de trois mois pour permettre aux gestionnaires de réseau d’enquêter, de trouver et de supprimer eux-mêmes Emotet. Une fois cette période écoulée, les organisations restantes avec des systèmes affectés ne seront pas informées des mesures prises. Le FBI a envoyé la commande de mise à mort sans avertissement, mais a notifié toutes les parties concernées après coup.

    Le retrait du shell Web du FBI a été immédiatement bien accueilli par la communauté infosec dans son ensemble. Chad Pinson, président de la criminalistique numérique, de la réponse aux incidents, des enquêtes et de la gestion de l’engagement chez Stroz Friedberg, a déclaré que le tampon de trois mois d’Europol garantissait presque que cela serait reçu de la même manière.

    “Si vous n’avez rien fait à ce stade, vous ne saurez probablement pas non plus qu’il a été supprimé”, a-t-il déclaré. “Je pense que beaucoup de personnes qui auraient un problème avec cela ne réaliseront jamais qu’elles ont un problème pour avoir.”

    Cette inconscience a le potentiel de causer des problèmes supplémentaires. Si Emotet disparaît sans laisser de trace, même si les entreprises peuvent être mieux loties sans le malware, elles perdront également un indicateur utile de ce qui s’est passé sur leur réseau.

    Savoir que vous aviez Emotet est la première étape vers une protection contre des menaces similaires à Emotet, a déclaré Merrit.

    «Il est conseillé d’analyser les traces d’Emotet dans les prochaines 48 heures», a-t-il déclaré.

    À l’heure actuelle, le FBI et Europol sont les deux seuls services répressifs connus pour mener des opérations de ce type. Mais avec le succès du FBI et le succès potentiel d’Europol, beaucoup s’attendent à ce que ces types de démantèlement deviennent une partie plus permanente du paysage.

    Le fait qu’Europol soit déjà impliqué peut être un indicateur de la fréquence à laquelle ces types d’opportunités seront à l’avenir.

    «Europol fait cela est intéressant», a déclaré Todd Carroll, ancien agent adjoint en charge du bureau extérieur du FBI à Chicago et ancien agent et actuel responsable de la sécurité de l’information de CyberAngel. «La façon dont les lois américaines sont rédigées, ainsi que les capacités et les capacités du renseignement américain, facilitent ce genre de choses» aux États-Unis par rapport à l’Europe. Les pays européens demandent souvent aux États-Unis de gérer des opérations plus invasives pour cette raison.

    Cela dit, les deux opérations démontrent une gamme dans quelle mesure les forces de l’ordre sont disposées à aller pour prendre le contrôle du système des victimes. La commande kill du FBI fonctionnait dans le propre cadre du shell Web. Europol ajoute un module entièrement nouveau à Emotet. Si le caractère intrusif continue de s’intensifier, a déclaré Pinson, les chances de dommages collatéraux augmentent.

    «Nous devons exécuter des scripts dans des environnements tout le temps, et ils ne fonctionnent pas toujours comme vous le pensez», a-t-il déclaré. «Quelqu’un va être déçu à l’arrière-plan.»

    Comme pour les activités Exchange Server du FBI, le correctif Europol pour Emotep n’atténue pas tous les résultats potentiels d’une infection. Emotet pourrait installer d’autres logiciels malveillants. Ce malware sera toujours là, a déclaré Felipe Duarter, chercheur en sécurité chez Appgate.

    «Si vous avez été infecté auparavant et qu’il a essayé de déployer une charge utile supplémentaire ou a essayé d’exécuter un module supplémentaire, ces dommages seront toujours là», a-t-il déclaré.

    Dans l’ensemble, la plupart des chercheurs s’attendent à un réel bénéfice de l’opération Europol, augmentant le coût de la criminalité et indiquant un nouveau paysage défensif.

    «Il incombe aux attaquants de comprendre:« Que faisons-nous ensuite? Comment changer nos tactiques? », A déclaré Ian Gray, directeur principal du renseignement chez Flashpoint. «Empruntant une phrase de Cyber ​​Command, c’est un type de position de défense vers l’avant. Cela change vraiment la dynamique où les défenseurs sont désormais plus en contrôle. »

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *