C’est une action internationale de grande ampleur qui a permis de démanteler le réseau cybercriminel Emotet. Observé pour la première fois en 2014, ce malware était généralement distribué par courriel d’hameçonnage via des botnets opérés par des groupes d’attaquants clients de TA542. Depuis août 2020, la France était devenue une cible de choix pour ces hackers.
Europol vient d’annoncer par voie de communiqué qu’un consortium de pays avait pris le contrôle de l’infrastructure Emotet, mondialement connue pour avoir infecté des centaines de milliers d’ordinateurs.
Les autorités du Pays-Bas, de l’Allemagne, des États-Unis, du Royaume-Uni, de la France, de la Lituanie, du Canada et de l’Ukraine, épaulées par Europol et Eurojust, ont participé à ce démantèlement.
LES SERVEURS ONT ÉTÉ SAISIS
Dans son communiqué, l’agence européenne de police criminelle raconte comment les forces de l’ordre se sont associées pour créer « une stratégie opérationnelle efficace » qui a abouti à la prise de contrôle du réseau et à son démantèlement. « Les machines infectées des victimes ont été redirigées vers cette infrastructure contrôlée par les forces de l’ordre », détaille l’organisation.
Sollicité par Le Monde, le responsable des opérations contre la cybercriminalité d’Europol, Fernando Ruiz, a confirmé que les serveurs avaient été physiquement saisis par les autorités des différents pays impliqués. En revanche, aucune information n’a été donnée sur l’arrestation d’éventuels suspects liés au malware.
MISE EN PLACE D’UN OUTIL DE VÉRIFICATION
De plus, dans le cadre de l’enquête criminelle menée par la police nationale néerlandaise, une base de données contenant des adresses électroniques, des noms d’utilisateur et des mots de passe volés par Emotet a été découverte. Un outil a été mis à disposition pour vérifier si son adresse email avait été compromise.
D’UN CHEVAL DE TROIE BANCAIRE À UNE STRUCTURE MODULAIRE
Le malware Emotet a été observé pour la première fois en 2014 en tant que cheval de Troie bancaire puis il a évolué vers une structure modulaire à partir de 2015. Depuis 2017, Emotet distribue, au sein des systèmes d’information qu’il infecte, des codes malveillants opérés par des groupes d’attaquants cybercriminels clients de TA542.
En pratique, ses différents modules permettaient à Emotet de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs et des messageries, de dérober la liste de contacts, le contenu et les pièces jointes attachés aux emails puis de se propager au sein du réseau infecté en tirant parti de vulnérabilités ainsi que des mots de passe récupérés.
LE TRIBUNAL DE PARIS PRIS POUR CIBLE
Comme l’explique l’Agence nationale de sécurité des systèmes d’information (Anssi), depuis quelques mois, la France représentait une cible des campagnes récentes d’Emotet. Ce malware est par exemple accusé d’avoir été au commande d’une attaque informatique touchant des magistrats du Tribunal de Paris début septembre dernier.
Source : usine-digitale.fr