L’opération de coordination des forces de l’ordre perturbe le cheval de Troie Emotet
Le malware virulent connu sous le nom d’Emotet a subi un coup dur en raison d’une opération coordonnée à grande échelle d’Eurpol, du FBI et des forces de l’ordre.
Les auteurs participant à l’opération sont originaires du Canada, de France, d’Allemagne, de Lituanie, des Pays-Bas, d’Ukraine, du Royaume-Uni et des États-Unis, ont travaillé ensemble et ont duré l’opération d’élimination des logiciels malveillants en environ deux ans.
Emotet a été observé pour la première fois à l’état sauvage en 2014 et à cette époque, il s’est avéré être distribué par courrier électronique, spam et documents malveillants tels que Word, Excel, etc.
Les chercheurs ont expliqué: «De telles lettres pourraient être déguisées en factures, lettres de transport, avertissements de sécurité de compte, invitations à des fêtes ou informations sur la propagation du coronavirus. En bref, les pirates ont suivi de près les tendances mondiales et ont constamment amélioré les lettres leurres. »
Le malware qui a commencé comme un cheval de Troie bancaire classique, a rapidement évolué en tant que téléchargeur puissant avec des modules malveillants. Les auteurs de logiciels malveillants ont rapidement commencé la coopération avec divers groupes de cybercriminels.
Une fois l’installation réussie sur le système ciblé, le logiciel malveillant a commencé à envoyer divers messages de spam et à installer des logiciels malveillants supplémentaires sur l’appareil. Il était utilisé pour télécharger / installer d’autres chevaux de Troie bancaires tels que Trickbot, des mineurs, des voleurs d’informations ainsi que des ransomwares tels que Ryuk.
Europol a déclaré dans son rapport que l’Emotet est «le malware le plus dangereux au monde». En outre, ils l’ont déclaré comme «l’un des botnets les plus importants de la dernière décennie».
L’opération d’élimination de ce malware, conformément aux offres des forces de l’ordre, sera la plus grande opération de ce type et aura un impact sur le monde entier.
Fernando Ruiz, responsable des opérations du Centre européen de lutte contre la cybercriminalité, déclare: «Nous avons éliminé l’un des principaux compte-gouttes du marché, et il y aura probablement maintenant un vide que d’autres criminels tenteront de combler. Mais pendant un certain temps, [notre opération] aura un impact positif sur la cybersécurité. »
Selon les autorités, l’infrastructure d’Emotet était en permanence saisie et les escrocs ne pourront donc plus utiliser les systèmes piratés. Cela signifie qu’ils ne pourront pas propager le malware vers de nouvelles cibles.
Selon les experts d’Europol, «l’infrastructure d’Emotet comprenait plusieurs centaines de serveurs répartis dans le monde, chacun avec des fonctionnalités différentes pour gérer les ordinateurs des victimes infectées, se propager à de nouvelles machines, servir d’autres groupes criminels et, en fin de compte, rendre le réseau plus résilient aux tentatives de déconnexion»
Les deux des trois principaux serveurs de contrôle étaient situés en néerlandais et, par conséquent, c’est là que la base de données des adresses électroniques, des noms d’utilisateur et des mots de passe volés a été trouvée. Les utilisateurs peuvent vérifier s’ils ont été piratés via ce virus en visitant le site Web de la police néerlandaise.
En outre, les responsables de l’application de la loi déploient une mise à jour spéciale sur les hôtes infectés en accédant aux serveurs de commande et de contrôle. Les utilisateurs doivent utiliser un code «bombe à retardement» pour supprimer le virus Emotet de leur système avant le 25 mars 2021 à l’heure locale à 12h00.