Un saboteur inconnu s’en prend à Emotet, un des gangs de cybercriminels les plus craints au monde. Grâce à son action, les victimes reçoivent des GIFs [des images animées, ndlr] à la place des différents virus des malfaiteurs, relève ZDNet.
Lancé le 21 juillet, ce travail de sape est devenu un tel problème pour Emotet, que l’organisation a dû stopper temporairement une large partie de ses opérations. Plus d’un quart de son activité était affectée d’après Cryptolaemus, un groupe de chercheur spécialisé dans la traque du gang.
Le travail de sabotage n’a pas encore été revendiqué. Il pourrait être l’œuvre d’un chercheur en cybersécurité… ou d’un gang de cybercriminels adverse.
Les sites compromis utilisés par les hackers sont compromis
Emotet opère un botnet, c’est-à-dire un ensemble de milliers machines compromises, pour lancer des campagnes de phishing particulièrement virulentes à destination des entreprises. À chaque attaque, le réseau envoie des centaines de milliers de messages, au point qu’Emotet était à la fois le botnet le plus volumineux et le plus actif en 2019.
Dans les emails qu’il envoie se trouve le plus souvent un document Microsoft Office (en pièce jointe ou via un lien extérieur) que les pirates incitent à télécharger. Si leurs cibles ouvrent le fichier et cliquent sur le bouton « activer les macros » — une fonctionnalité qui permet de lancer des scripts automatiques, utiles pour toutes sortes d’actions non malveillantes –, ils lanceront le téléchargement du malware Emotet depuis Internet.
Un mot de passe unique pour contrôler le réseau ?!
Les différents composants du malware sont hébergés sur des sites piratés, le plus souvent achetés au marché noir, que les opérateurs de Emotet peuvent modifier à leur guise. Concrètement, Emotet va se connecter à ce site pour déployer des malwares de son cru (par exemple pour voler les données bancaires) ou appartenant à d’autres cybercriminels. En 2019, le botnet était devenu un partenaire régulier des opérateurs de rançongiciel, la menace numéro 1 pour les entreprises.
Le saboteur parvient à identifier les sites sources de Emotet — plusieurs organisations comme Cryptolaemus traquent leur activité de façon quotidienne — et à remplacer les malwares par des images de Giphy ou Imgur, deux services de GIFs populaires. Bingo : si les cibles de Emotet tombent dans le piège tendu par les cybercriminels, elles ne feront que télécharger les GIFs.
D’après Kevin Beaumont, chercheur chez Microsoft et pointure du secteur, Emotet utiliserait le même mot de passe pour les outils de contrôle de tous ses sites piratés. Le justicier inconnu pourrait donc tout simplement avoir deviné ce mot de passe, et s’en servir pour effectuer des modifications à la chaîne. Mais cette théorie n’a pas été confirmée, et il pourrait avoir utilisé une attaque plus complexe.
Emotet au ralenti… jusqu’à quand ?
Emotet travaille encore pour exfiltrer son adversaire de son réseau de sites piratés. En attendant, il a stoppé plus de trois quarts de ses activités dès le 23 juillet. Les malfaiteurs parvenaient à rétablir de plus en plus rapidement les sites modifiés, mais le saboteur remplaçait leurs outils à une vitesse équivalente, parfois à peine 5 minutes après leur mise en ligne.
Reste que Emotet a une puissance de frappe telle qu’il devrait rapidement se remettre en marche. Il pourrait tout remettre la main sur les sites qu’il utilisait ou lancer une opération pour en récupérer d’autres. En attendant, les utilisateurs profitent d’une trêve bienvenue.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.