Emotet Botnet mis hors ligne suite à un effort de police mondial

L'énorme botnet Emotet a été mis hors ligne à la suite d'un effort de police international impliquant plusieurs pays. Emotet a été l'un des distributeurs de logiciels malveillants et de spam les plus prolifiques au monde au cours des dernières années, et son retrait est un coup dur pour les distributeurs de logiciels malveillants, de ransomwares et de spam du monde entier.

Le botnet Emotet est en panne

Le 27 janvier 2021, Europol a envoyé un tweet annonçant que le botnet Emotet était en panne.

L'aboutissement d'un effort policier mondial massif impliquant les autorités des Pays-Bas, de l'Allemagne, des États-Unis, du Royaume-Uni, de la France, de la Lituanie, du Canada et de l'Ukraine a vu les enquêteurs prendre le contrôle du botnet.

Les enquêteurs et les chercheurs en sécurité ont pris le contrôle de l'infrastructure de commande et de contrôle Emotet dans plus de 90 pays disséminés dans le monde, avec au moins deux arrestations physiques en Ukraine. Les autorités ukrainiennes ont également publié une vidéo montrant des agents saisissant du matériel informatique, de l'argent et des rangées de lingots d'or.

La déclaration officielle d' Europol se lit comme suit:

L'infrastructure EMOTET a essentiellement agi comme un ouvre-porte principal pour les systèmes informatiques à l'échelle mondiale. Une fois cet accès non autorisé établi, ceux-ci ont été vendus à d'autres groupes criminels de haut niveau pour déployer d'autres activités illicites telles que le vol de données et l'extorsion par ransomware.

La suppression d'Emotet impliquait de perturber des centaines de serveurs, dont beaucoup avaient des capacités différentes. Dans le cas d'un botnet massif comme Emotet, le seul moyen de perturber et de détruire le réseau est d'en détruire autant que possible simultanément, ainsi que de procéder à des arrestations physiques sur ceux qui dirigent l'entreprise criminelle.

De nombreux botnets comme EMOTET sont de nature polymorphe. Cela signifie que le malware modifie son code à chaque fois qu'il est appelé. Étant donné que de nombreux programmes antivirus analysent l'ordinateur à la recherche de codes malveillants connus, un changement de code peut entraîner des difficultés pour sa détection, ce qui permet à l'infection de ne pas être détectée initialement.

Connexes: Qu'est-ce qu'un botnet et votre ordinateur en fait-il partie?

Le botnet Emotet est-il parti pour de bon?

Lors des précédentes suppressions de botnet, les efforts coordonnés ont porté un coup dur mais n'ont pas tout à fait tué la bête.

En relation: Comment les pirates utilisent les botnets pour casser vos sites Web préférés

Par exemple, lorsque les autorités et les chercheurs en sécurité ont détruit le botnet Trickbot, les propriétaires du botnet ont pu se reconstruire. Non seulement cela, mais ils ont pu apprendre des failles qui ont rendu le botnet vulnérable au premier retrait, renforçant ainsi la deuxième version.

Dans le cas d'Emotet, les autorités sont convaincues qu'une infrastructure de commande et de contrôle suffisante a été saisie pour que recréer le botnet serait très difficile, mais pas impossible.

Il y a aussi une autre menace. Bien qu'Emotet soit hors ligne, les menaces propagées via le réseau restent actives.

Le chercheur en sécurité Marcus Hutchins conseille aux organisations et aux particuliers de «procéder au nettoyage le plus tôt possible» car la menace d'autres types de logiciels malveillants, tels que les ransomwares Ryuk et Egregor, reste active.

Avec le retrait d'Emotet, Europol et ses partenaires ont mis hors ligne une importante menace de sécurité mondiale.