Pourquoi Emotet fait son retour?

0

Le malware Emotet dont l’infrastructure avait été démantelée au mois de janvier est de retour.

La réapparition d’Emotet n’est une surprise pour personne, puisque les hackers et les technologies malveillantes apparaissent et disparaissent à un rythme soutenu. Si, à l’échelle mondiale,  les autorités ont démantelé l’infrastructure qui soutenait le botnet Emotet au début de l’année, les cybercriminels n’ont quant à eux  jamais été traduits en justice. Aujourd’hui, ils ont trouvé l’occasion de frapper à nouveau, juste à temps pour les fêtes de fin d’année, et sont apparemment plus actifs que jamais. 

Historiquement, le malware Emotet était déployé au cours de la première phase d’une attaque et introduit dans une organisation par le biais d’un e-mail de spear-phishing très convaincant contenant un document Office modifié et piégé. Les cybercriminels utilisaient ensuite ce point d’entrée pour diffuser d’autres logiciels malveillants, notamment un TrickBot ou un QakBot, utilisés avant le déploiement du ransomware.

Dans cette nouvelle affaire, les pirates semblent utiliser les victimes de TrickBot pour installer Emotet (inversement à la séquence précédente). Le redéveloppement et l’amélioration de ce logiciel malveillant témoignent d’une tendance évolutive qui voit plusieurs groupes de pirates opérer en tandem dans le cadre d’un modèle de logiciels criminels en tant que service ( les développeurs d’Emotet payant les développeurs de TrickBot pour déployer Emotet en leur nom).  

Si les campagnes coordonnées de lutte contre la criminalité visant à démanteler l’infrastructure de ces groupes sont bénéfiques, elles ne sont toutefois qu’une solution temporaire. Et comme nous l’avons vu à maintes reprises, la tentation de se relancer est trop forte. Seules les technologies capables d’arrêter les attaques au moment où elles se produisent parviendront à dissuader ces groupes à long terme.

About Author

Avatar

Director of Cyber Intelligence and Analytics de Darktrace.

Leave A Reply