Une bonne nouvelle dans le monde du système informatique car le logiciel malveillant qui s’incruste dans les machines depuis 2014 a été démantelé. Sa chute est le fruit du travail de collaboration entre une dizaine de pays : Ukraine, Canada, Lituanie, Pays-Bas, Allemagne, Royaume-Uni, Etats-Unis et France.
Détails sur les faits
En effet, Europol ou agence européenne de police criminelle en coopération avec Eurojust ou unité de coopération judiciaire de l’Union Européenne a mis fin aux désagréments causés par Emotet après une opération menée durant 2 ans. Europol est chargée de gérer les enquêtes menées par les forces de l’ordre des 10 pays qui ont contribué à l’éradication du malware. Désormais, toutes les machines infectées sont redirigées vers une infrastructure contrôlée par Europol. Les agents modifient les malwares pour que les ordinateurs infectés passent par les serveurs qu’ils contrôlent. D’ailleurs, la police allemande a précisé que les adresses IP des ordinateurs infectés sont transférées à la BSI (Anssi) qui désinfectent les appareils. Un système qui n’est pas encore disponible en France.
Au cours de l’opération de démantèlement, 17 serveurs ont été saisi dans divers pays comme Ukraine, Lituanie ou Pays-Bas. Les agents ont également saisi du matériel informatique et de l’argent. Ils ont procédé à l’arrestation de 2 personnes chargées de la propagation du logiciel malveillant et du bon fonctionnement de l’infrastructure. Au vu des charges retenues contre eux, ils vont écoper un emprisonnement de 12 ans.
Manifestation de l’Emotet
Pour rappel, Emotet est un virus très dangereux qui s’est développé dans des millions d’ordinateurs à travers les courriels d’hameçonnage. Au début, ce malware prenait la forme d’un logiciel bancaire qui permet de voler les identifiants bancaires. Ces mails contenaient des liens et des pièces jointes piégées sous format word, captivant les internautes qui étaient piégés. Les fichiers se présentaient sous forme de communiqué sur la crise sanitaire, d’avis d’expédition de colis ou de facture. Les pirates utilisaient le thread hijacking où ils insèrent les anciennes conversations de la messagerie électronique des e-mails malveillants.
Une fois l’Emotet installé, il crée des campagnes de fishing et de spam. Les pirates de ce malware vendaient à d’autres groupes cybercriminels les systèmes informatiques des cibles. En conséquence, ces derniers créent d’autres activités illicites comme l’extorsion ou le vol de données à travers les logiciels de rançon. Le groupe cybercriminel se cachait sous plusieurs identités : Ivan, Mealybugs, Mummy Spider ou TA542. Nombreuses sont les victimes de ce malware dont Bouygues Construction, le ministère de l’intérieur ainsi que des avocats et des magistrats du tribunal de Paris sans oublier de nombreuses organisations françaises.
Mis à part Emotet, un autre malware a déjà été démantelé botnet Trickbot qui revend l’accès au courriel à d’autres groupes malveillants. Quant à l’affaire Retadup, la gendarmerie française avait mené cette opération. Elle en a pris le contrôle et a modifié le logiciel sur les machines infectées. Aucune arrestation n’a été effectuée au cours de ce démantèlement. Ce qui pourrait refaire apparaître le virus sous un autre nom, comme dans le cas du botnet Kelihos.