Comment Emotet est-il devenu le malware le plus dangereux au monde ?

Fanny Dufour
20 novembre 2021 à 18h18
29
Trojan horse

Après avoir été démantelé dans une opération réalisée par plusieurs pays en janvier, Emotet est semble-t-il de retour. Pourquoi ce malware est-il si redouté ? Quelles étaient ses actions avant son arrêt ? Pourquoi était-il considéré comme le malware le plus dangereux au monde ?

Détecté en 2014, Emotet a connu plusieurs évolutions avant de devenir le malware redouté et redoutable qui a semé la destruction. Il se distinguait particulièrement par sa capacité à échapper à la détection, à se modifier constamment, à obtenir des informations et à les utiliser intelligemment dans des campagnes automatisées, ainsi que par son utilisation en tant que malware-as-a-service, dont les services étaient loués à d’autres attaquants pour distribuer leurs propres malwares et ransomwares.

Du trojan bancaire au dropper

#VariantDelta

Emotet a été détecté pour la première fois en 2014. À cette époque, il était utilisé comme un cheval de Troie bancaire visant principalement des banques allemandes, autrichiennes et suisses. Il se contentait de récupérer des informations bancaires en interceptant le trafic Internet, avant de rapidement ajouter la possibilité de faire des transferts d’argent automatiquement à son arsenal, lui permettant de viser des comptes clients directement. Avec sa troisième version, le malware était capable de rester dissimulé sur les systèmes, ce qui lui permit d’étendre son champ d’attaque.

Mais Emotet a réellement commencé à faire parler de lui en 2017, avec l’évolution de son utilisation. En plus de conserver sa capacité à récupérer des informations, le malware est devenu ce qu’on appelle un dropper. Il était désormais capable de distribuer des malwares supplémentaires. Ses créateurs lui aussi ont ajouté des fonctionnalités lui permettant de se comporter comme un ver informatique. Il se propageait sur les réseaux auxquels étaient connectés les ordinateurs de ses victimes et utilisait le bruteforce pour trouver des mots de passe et accéder à d'autres systèmes. À partir de ce moment-là, Emotet est passé de « simple » trojan bancaire à menace sérieuse.   

Le « malware le plus dangereux au monde »

- Alors comme ça t'as été élu l'homme le plus classe du monde ?

Dans sa nouvelle version, Emotet était utilisé de deux façons. En tant que malware classique, afin de gagner un accès persistant pour récupérer des informations sensibles comme des mots de passe, les listes de contacts d'adresses mail, le contenu des mails et les pièces jointes envoyés par ses victimes, et pour continuer à se propager dans le réseau. Mais il était également utilisé comme malware-as-a-service. Une fois un accès obtenu, Emotet pouvait télécharger et installer d'autres malwares, dans un principe de "vente" de l'accès récupéré à d'autres acteurs malveillants. Si de nombreux trojans différents ont été propagés de cette façon au cours des années d’activité d’Emotet, deux d’entre eux étaient particulièrement utilisés et redoutés : TrickBot et QBot.

Ces deux trojans bancaires possèdent comme Emotet la capacité de se déplacer latéralement sur un réseau et de récupérer des informations confidentielles à utiliser dans de futures campagnes. Mais ils sont également utilisés comme dropper, cette fois pour distribuer des ransomwares. TrickBot est connu pour distribuer les ransomwares Ryuk et Conti, tandis que Qbot propageait ProLock.

Pour résumer, être infecté par Emotet signifiait que tous les appareils du réseau pouvaient être compromis, que des informations étaient récupérées aussi bien par le malware que par ceux qu’il propageait et qu’un ransomware pouvait être installé sur le système. Certains appareils étaient en plus ajoutés à un botnet et utilisés dans des campagnes d’hameçonnage importantes pour infecter de nouvelles machines. On peut également souligner sa capacité à éviter la détection par les logiciels antivirus grâce à la modification constante son code. Emotet méritait donc bien son surnom de « malware le plus dangereux au monde ».

Une distribution massive et personnalisée

- La famille ça va ?
- Ça va, ça va, Emotet…

Emotet était distribué lors de campagnes d’hameçonnage, sous la forme d’un document Word, d’un PDF ou d’un téléchargement à effectuer sur un site. À partir d’avril 2019, le malware a commencé à utiliser les informations récupérées auparavant, notamment celles ayant trait aux emails, et a lancé des campagnes d’hameçonnage agressives, en utilisant une technique connue sous le nom de détournement de fils de discussions par email.

À l’aide des contacts et fils de discussions récupérés précédemment, Emotet a pu automatiser la création de mails de phishing plus personnalisés. Ces mails se faisaient passer pour une réponse à un fil précédent entre la victime et l’un de ses contacts, en mettant dans le corps du mail les anciennes discussions récupérées lors de l’attaque et en gardant le même sujet de mail auquel était ajouté le préfix "Re:". Dans certains cas, les anciennes pièces jointes étaient également ajoutées pour plus de légitimité. Cependant, ces mails n’étaient pas envoyés à partir de l’adresse mail compromise mais à partir de l’infrastructure des attaquants et d’adresses créées pour l’occasion et typosquattées.

Pour envoyer ces mails, Emotet pouvait s’appuyer sur son immense réseau d’ordinateurs infectés, qui lui permettait de mener des campagnes massives pouvant aller jusqu’à 250 000 messages envoyés par jour, comme détecté en juillet 2020. Aussi bien des entreprises et des organisations que des particuliers en étaient victimes et ce, dans le monde entier.

La fin et le retour d’Emotet

Emotet : resurrections

Le 27 janvier 2021, Europol a annoncé avoir réussi à prendre le contrôle du botnet Emotet grâce à une action internationale coordonnée entre les autorités de plusieurs pays, dont la France. En dirigeant désormais l’infrastructure, les autorités ont empêché l’installation de malwares supplémentaires et ont pu distribuer massivement un nouveau module aux ordinateurs infectés pour désinstaller automatiquement Emotet le 25 avril 2021.

Mais si Emotet avait pu être stoppé, TrickBot continuait ses activités. Le 15 septembre 2021, des signes de regain d’activité d’Emotet ont été repérés par Cryptolaemus, un groupe de chercheurs spécialisé dans la lutte contre le malware. Cette fois, à l’inverse de ce qui avait pu se faire dans le passé, TrickBot est utilisé pour distribuer une version améliorée d’Emotet, et tenter de reconstruire le botnet. L’activité reste pour le moment discrète mais de nouveaux documents infectés commencent à être propagés. Si l’infrastructure d’Emotet arrive à être reconstruite, plusieurs spécialistes, dont Vitali Kremez d’Advanced Intel, préviennent que les infections par des ransomwares risquent de se faire beaucoup plus nombreuses. Le 15 novembre, plus de 246 appareils avaient déjà été infectés.

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (29)

pecore
Très intéressant et limite flippant.
Vttiste
Intéressant que les gouvernements en ont pris le controle avec un supposé effacement automatique vu ce quil se passe actuellement (mensonge a chaque intervention) jai un doute
Cynian90
En lisant ce genre de news, on a tendance à s’imaginer des groupes criminels ultra sophistiqués, alors que la réalité est tout autre, il suffit de se promener sur quelques forums, même sur le clearnet, pour s’acheter des installations de ce type. Je pourrais moi-même installer une dizaine de trojans et espionner quelques webcams en quelques clics et quelques $ en Bitcoin. Ce sont des gugusses comme vous et moi qui ont pris goût à des pratiques hors normes.
benben99
C’est clair qu’on devrait soupçonner les USAs. C’est trop louche qu’ils ne sont pas attaqués
Cynian90
Faut être sacrément limité pour croire que les US joue ce genre de petits jeux, les banques US sont juste beaucoup plus difficiles à attaquer parce que le gouvernement américain peut opérer sur la terre entière aisément, ça vaut pas la peine de les voler. Il est beaucoup plus difficile aux Etats-Unis de faire ce genre de projets contraires à l’éthique, parce que l’Américain lambda a des valeurs contrairement au Chinois lambda dont la vie tourne autour de l’argent.
dFxed
Fondé sur quoi ? Votre intuition au doigt mouillé ?<br /> De temps en temps, il faut savoir accepter les choses, et arrêter de les remettre systématiquement en question, uniquement parce qu’elle viennent d’un tiers dont on ne cautionne pas toutes les décisions.
comtezer0
Article bidon servant de faire valoir pour une pub antivirus à la fin.
benben99
Le pire est qu’avec Windows Defender il est de nos jours inutile d’avoir un anti-virus payant car ils font généralement a peine.mieux
rexxie
Les USA sont un modèle d’ingérence internationale, ces cowboys n’ont ni foi ni loi. Historiquement, ce sont les plus aventuriers, les plus assoiffés de pognon parmi les Européens qui ont envahi le territoire américain et massacré les Indiens.<br /> Les «&nbsp;conseillers&nbsp;» de la CIA, grâce aux techniques de propagande, investissent et soulèvent des populations contre leurs leaders légitimes, pour y mettre leurs pantins. Pas mal moins cher qu’une guerre, mais combien sournois. Injecter des trojans et autres moyens d’espionnage doit faire partie du cours de base de l’agent débutant.<br /> Ceci dit, faut pas croire notre propre propagande médiatique occidentale hein? C’est pas parce que la lectrice du journal est sympathique que c’est vrai… Ni aux USA, ni en Chine, en Russie, au Luxembourg ou ailleurs, la population en général est une bande de pervers tel que tu insinues. M. et Mme Tout-Le-Monde sont… comme tout le monde, des gens qui aiment et haïssent, qui veulent être confortables et prospères dans le cadre des lois de son pays.<br /> Il y en a partout des individus sans morale, mais il y en a bien plus avec morale qui veulent vivre et laisser vivre.
rexxie
Cynian90:<br /> les banques US sont juste beaucoup plus difficiles à attaquer parce que le gouvernement américain peut opérer sur la terre entière aisément, ça vaut pas la peine de les voler.<br /> Faudrait m’expliquer ça.
Vttiste
Arretez de se poser des questions, cest peut etre la soumission ultime. Je dis ca je dis rien chacun est libre de sa pensée (enfin a notre epoque je ne suis meme pas sur de ca )
Cynian90
J’adore ce moment oú tu mets USA, Chine, Russie, et Luxembourg dans le même plat, du grand art de manipulation.<br /> Mr. Tout le monde, pareil partout, la culture n’existe pas. Je t’invite à envoyer ta fille au Kyrgyzstan, elle va bien s’y épanouir.<br /> Quand tu touches une banque US, tu te prends le FBI dans la tronche, ils ont probablement parmi les plus gros moyens techniques au niveau mondial.
dFxed
Mettre en doute c’est bien quand on a des preuves étayant son avis. Sinon ça sert juste à essayer de se persuader que l’on sait tout mieux que les autres, puisqu’on a des supposées informations que les autres n’ont pas.<br /> Mais pour vous il est sans doute un peu tard vu que vous semblez persuadé que les autres n’ont pas d’avis, mais qu’il leur est suggéré ou imposé.
Elessar777
Exactement, le doute, sans preuve, nourri par les propres fantasmes de l’individu est souvent un des mécanismes qui mènent au complotisme, et le pas à franchir est souvent assez court.
cid1
Clubic a écrit: Comment Emotet est-il devenu le malware le plus dangereux au monde ?<br /> En se propageant à chaque clic sur l’article de Clubic byebye
Felaz
hmm elle est ou la dite pub ? Quand c’est le cas (pub) on le mentionne, dans ce cas précis nous sommes sur un article éditorial…
Blackalf
comtezer0:<br /> Article bidon servant de faire valoir pour une pub antivirus à la fin.<br /> C’est curieux, je n’arrive pas à la trouver, cette pub, où est-elle ? <br /> @benben99 messages supprimés pour le motif messages non constructifs/hors-sujet.<br /> @Cynian90 message supprimés pour le motif réponse à un message supprimé.
benben99
L’origine de Emotet est directement dans le sujet.<br /> La question du titre de la news est :<br /> Comment Emotet est-il devenu le malware le plus dangereux au monde ?<br /> La réponse la plus probable:<br /> En étant financé par un état (USAs, Israël… ou autre).<br /> Sinon, je ne pense pas qu’il aurait pris autant d ampleur et qu’il aurait été aussi sophistiqué… Tout ce qui est arrivé dépend de son origine.<br /> Maintenant, on peut avoir plusieurs hypothèses mais en regardant les pays qui n’ont pas été attaqué cela donne quelques pistes a mon avis…
Vttiste
FE04TALXsAAFZd8800×692 69.4 KB
Vttiste
Ah bah, si ton pc content juste ca, effectivement ils risquent detre déçus
Nmut
Avoir un doute, c’est bien. Ne pas s’informer,ça l’est moins. Regarde les forums spécialisé, il est évident que l’action a été efficace. Bien sûr en face, ils ne sont pas restés les bras croisés, la guerre ne sera jamais finie…
Nmut
«&nbsp;A notre époque&nbsp;», je dirais plutôt que la propagande est moins utilisées par les pouvoirs que par les «&nbsp;antis&nbsp;» (je ne sais pas comment nommer cet ensemble de pouvoirs qui ne sont pas les 4 contre pouvoirs classiques), mais plutôt des opposition et/ou des personnes ayant un intérêt au chaos)…<br /> Il est intéressant de voir que quand on fait une démonstration claire, on est accusé d’être un mouton, de ne pas se poser de questions ou pire, de ne pas réfléchir. Je crois que c’est là la vraie plaie de notre époque: la pensée unique type «&nbsp;on nous ment&nbsp;».<br /> Oui, on nous ment, oui on est manipulé, mais de nos jours il est infiniment plus facile d’être informé, à condition de ne pas se mettre soi-même des oeillères.
Vttiste
Juste pour info, je travaille dans une entreprise spécialisée dans la sécurité informatique depuis plus de 15 ans. Croire que les gouvernements sont des anges cest vraiment mais alors vraiment etre naif (ou croire aux bisousnours). Il y a le monde des apparences ou tout est beau et cordial, et il y a le monde reel, ou tout est scanné, espionné, avec des backdoor, de la manipulation, des agences gouvernementales et des entreprises spécialisés qui crée du soft pour ca. L’Espionnage industriel est de loin ce qui est le plus recherché, mais la liste est tres longue. Un «&nbsp;malware&nbsp;» peut facilement etre estampillé «&nbsp;mechant russes&nbsp;» ou «&nbsp;mechants voleurs&nbsp;» mais tout le monde a son petit interet a utiliser ces outils la… cest pas du complotisme, cest la réalité. Dans ce cas la je nai aucune preuve, mais la probabilité de detourner ce genre doutils me parait tellement importante et alléchante que ignorer ou rejetter cette possibilité est du domaine du ridicule.
Augusto
@Fanny Dufour : Alors dans l’ordre : Les tweetos, La classe Americaine (Monde de Merde ! ), Asterix et Matrix. Je ne suis pas dans la sécu informatique et j’ai trouvé l’article intéressant pour mon cas. Mais je me suis bien marré sur les sous-titres. Merci pour ça.
os2
lol
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page