Emotet is back

Celui qui était démantelé en janvier 2021 par Europol semble refaire surface. Emotet fait son come-back, au même degré qu’une star déchue de son piédestal, d’après les travaux menés par plusieurs experts en cybersécurité pour Cryptolaemus. Pourtant, au début de l’année, Europol se félicitait d’avoir réussi à détricoter ce malware qui a déjà fait de nombreuses victimes. Pour autant le retour de l’un des plus significatifs des botnets pourrait potentiellement gâcher les fêtes des fin d’année, comme Noël, qui est devenu une célébration populaire déconnectée de son fondement religieux.

Le botnet Emotet a de nouveau été détecté, révèle Cryptolaemus, un groupe d’experts en cybersécurité, ce mardi 16 novembre 2021. Pourtant, en janvier de cette année, une opération planétaire, chapeautée par Europol et Eurojust, avait annoncé avoir réussi à obtenir le contrôle de l’infrastructure Emotet. « Les autorités policières et judiciaires du monde entier ont démantelé cette semaine l’un des plus importants réseaux de zombies de la dernière décennie : EMOTET. Les enquêteurs ont désormais pris le contrôle de son infrastructure dans le cadre d’une action internationale coordonnée. »

« La quantité de spams semble également augmenter, et les fils de discussion volés qui sont eux-mêmes insérés sont assez récents sur ces chaînes de réponses depuis le mois dernier » gazouilla le 15 novembre 2021. (Crédits : Cryptolaemus/Twitter)

C’est la société G-Data qui a eu la primeur de détecter cette nouvelle version. Le dimanche 14 novembre, vers 21 h 26 UTC, les experts observaient sur plusieurs de leurs trackers Trickbot que le bot avait essayé de télécharger une DLL sur le système. Selon un traitement interne, explique la firme, ces DLL ont été identifiées comme étant Emotet. « Le démantèlement d’Emotet, coordonné au niveau international, a été efficace pendant de nombreux mois et a permis de sauver de nombreuses victimes. Nous en félicitons toutes les autorités concernées. Néanmoins, nos analyses actuelles montrent qu’Emotet est maintenant de retour comme le montre l’analyse manuelle des échantillons de logiciels malveillants actuels », commente le Dr Tilman Frosch, Directeur général G DATA Advanced Analytics.

L’URL contient un chemin de ressource aléatoire et le bot transfère la charge utile de la requête dans un cookie. « Le cryptage utilisé pour cacher les données semble différent de ce qui a été observé dans le passé. De plus, l’échantillon utilise maintenant HTTPS avec un certificat de serveur auto-signé pour sécuriser le trafic réseau. » (Crédits : Cyber.WTF)

La France dans le viseur d’Emotet

Alors que les médias du monde se focalisaient sur un virus, un autre microbe s’attaquait aux instances françaises. Le samedi 5 septembre, Pascal Ceaux, écrivait dans les colonnes du Journal du Dimanche que : le tribunal de Paris est sous le coup d’un cheval de Troie, distribué par la messagerie électronique. « Des faux mails ont été expédiés notamment à destination d’avocats comme Pierre Cornut-Gentille et Jean-Marc Delas, tous deux spécialisés dans le droit pénal des affaires », expliquait-il.

Des attaques par codes malveillants sont effectuées à chaque instant. L’ANSSI met à disposition de nombreux rapports concernant les alertes de sécurité, menaces et incidents, avis de sécurité, indicateurs de compromission, durcissement et recommandations, et bulletins d’actualité consultables sur leur site. (Crédits : capture d’écran/Twitter)

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) alertait le 7 septembre 2020 à ce propos « Depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. Il convient d’y apporter une attention particulière, car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes. »

À deux semaines du Black Friday

L’inquiétude semble être prégnante chez les commerçants, peu de temps avant une période plus que vitale pour leurs chiffres d’affaires. « À l’approche du Black Friday qui lance la saison d’achats la plus importante de l’année, les hackers se préparent à lancer une nouvelle vague d’attaques. […] 44 % des retailers ont ainsi été touchés par un ransomware en 2020, et beaucoup ont même payé une rançon très élevée. Le coût moyen de récupération des données et de reprise de l’activité à la suite d’une telle attaque dans le secteur du retail s’élèverait donc à 1,6 million d’euros », explique le Journal du Net. Un adage stipule qu’il vaut mieux prévenir que guérir. En effet, les montants financiers pour réparer les dommages peuvent être dramatiques pour quelqu’une entreprise. Si comme les symptômes d’un rhume chez l’être humain sont seuls visibles :

  • Le nez qui coule et qui se bouche
  • Les éternuements
  • Un chatouillement ou même une sensation de brûlure dans le nez
  • Une perte de l’odorat et du goût plus ou moins prononcée, voire de la fièvre

Si, le simple rhume évolue en général vers la guérison sans complication, lorsque la muqueuse est fortement enflammée ou les défenses naturelles amoindries, d’autres infections s’invitent, voire de la fatigue. Des maladies respiratoires peuvent se produire dans les voies supérieures (trachéite, bronchite), les sinus ou encore l’oreille moyenne. Des infections peuvent alors s’installer et provoquer diverses maladies, comme une sinusite ou une otite. Des précautions sont alors à prendre, conseille le JDN :

  • Disposer d’une bonne solution de stockage de données
  • Repérer et renforcer votre maillon faible
  • Hiérarchiser vos données
  • Protéger vos données dans le cloud
  • Adopter l’authentification multi facteurs

Mieux vaut prévenir que guérir

Comme l’évoque la fable « La Cigale et la Fourmi », les pénuries peuvent engendrer bien des dommages. C’est le cas au sein de la « cybersécurité ». La demande de compétences en sécurité est devenue bien supérieure à l’offre. Les évaluations tablent sur 70 % des entreprises dans le monde qui manquent de spécialistes en sécurité informatique, et il faudrait en former 4 millions pour répondre aux besoins du marché. Le numérique s’impose ainsi comme un domaine de recrutement en expansion et dont le taux d’embauche est 2,4 fois plus élevé que dans les autres secteurs. Dans les prochaines années, Pôle Emploi estime que ce sont 191 000 postes qui seront à pourvoir d’ici 2022. L’observatoire de la Grande école du numérique (GEN) a analysé, en février 2021, les besoins en compétences numériques dans les treize régions de l’hexagone. L’étude souligne que « les régions peinent à recruter : entre 60 % et 80 % des recrutements sont jugés difficiles dans ces métiers dans l’ensemble des régions ».

La Cigale, ayant chanté tout l’été, se trouva fort dépourvue quand la bise fut venue. Pas un seul petit morceau de mouche ou de vermisseau.

La Cigale et la Fourmi. Jean de La Fontaine

Rappelez-vous, en septembre 2021, la Société de transport de l’Outaouais (STO) était la victime d’une attaque par codes malveillants de type ransomware. Cela a obligé la compagnie à forcer l’octroi de sept contrats de gré à gré pour gérer la crise. La moitié est pour assurer la surveillance de crédit et la protection contre le vol d’identité des employés et clients concernés.

Sur environ 160 000 comptes clients, près de la moitié d’entre eux contiennent des données personnelles sensibles compromises telles que des adresses, noms et dates de naissance.

Le montant total de la facture pour la Société de transport de l’Outaouais (STO) atteint 1 million de dollars. (Crédits : capture d’écran/Facebook)

« Moins de deux mois après que la Société de transport de l’Outaouais ait été victime d’une cyberattaque, les 2700 employés, actuels ou anciens, et 80 000 usagers, dont les données personnelles ont été compromises ont été contactés », assurait la direction de la compagnie canadienne jeudi 28 octobre 2021. La présidente de la STO, Myriam Nadeau, expliquait que les dossiers des employés, actuels et anciens, ont été traités en premier, étant donné que ce sont majoritairement ceux dont les données les plus « sensibles » ont été compromises.

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

2 réflexions sur “Emotet is back

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *