Depuis plus d’une demi-décennie, le malware connu sous le nom d’Emotet a menacé l’Internet, devenant l’un des plus grands réseaux de zombies au monde et ciblant les victimes par le vol de données et des rançons paralysantes. Une enquête policière mondiale et tentaculaire a abouti au démantèlement d’Emotet et à l’arrestation de plusieurs membres présumés de la machination criminelle qui le sous-tend.
Europol a annoncé aujourd’hui qu’une coalition mondiale de services de police des États-Unis, du Canada, du Royaume-Uni, des Pays-Bas, de l’Allemagne, de la France, de la Lituanie et de l’Ukraine avait perturbé Emotet, ce qu’elle a appelé “le logiciel malveillant le plus dangereux au monde”. L’effort mondial, connu sous le nom d’opération Ladybird, a été coordonné avec des chercheurs en sécurité privée pour perturber et reprendre l’infrastructure de commandement et de contrôle d’Emotet – située dans plus de 90 pays, selon la police ukrainienne – tout en arrêtant simultanément au moins deux des membres ukrainiens de l’équipage du cybercriminel.
Une vidéo d’un raid diffusée par les forces de l’ordre ukrainiennes montre des agents saisissant du matériel informatique, de l’argent liquide et des rangées de lingots d’or auprès d’opérateurs présumés d’Emotet. Ni la police ukrainienne ni Europol n’ont nommé les pirates informatiques arrêtés ou détaillé leur rôle présumé dans l’équipage de l’Emotet. Une déclaration des autorités ukrainiennes note que “d’autres membres d’un groupe international de pirates informatiques qui ont utilisé l’infrastructure du réseau de robots Emotet pour mener des cyber-attaques ont également été identifiés. Des mesures sont prises pour les arrêter”.
“L’infrastructure d’Emotet a essentiellement servi de porte d’entrée principale pour les systèmes informatiques à l’échelle mondiale”, peut-on lire dans une déclaration d’Europol sur l’opération. L’enquête internationale et l’opération de perturbation, peut-on lire dans la déclaration, “ont abouti à l’action de cette semaine par laquelle les autorités policières et judiciaires ont pris le contrôle de l’infrastructure et l’ont démontée de l’intérieur”.
Selon la police néerlandaise, Emotet a causé des centaines de millions de dollars de dommages au total, tandis que les forces de l’ordre ukrainiennes ont estimé le chiffre à 2,5 milliards de dollars. Le botnet s’était principalement répandu par le biais de spam contenant des liens malveillants et des documents infectés par des macros Microsoft Office contaminées, et était devenu célèbre pour avoir livré tout, des chevaux de Troie bancaires aux logiciels de rançon, en passant par les machines des victimes.
Les opérateurs du botnet avaient la réputation d’être particulièrement habiles à contourner les filtres antispam, explique Martijn Grooten, chercheur indépendant en sécurité et ancien organisateur de la conférence du Virus Bulletin, qui suit Emotet depuis des années. Ils utilisaient des serveurs de courrier électronique compromis pour envoyer leurs leurres de courrier électronique en masse, et se répandaient latéralement dans le réseau d’une organisation pour prendre pied sur plusieurs machines après qu’une victime ait mordu à l’hameçon. Les opérateurs d’Emotet se sont également associés à d’autres gangs cybercriminels, vendant l’accès à ceux qui se concentrent sur le vol et les logiciels de rançon. Elle a contribué à la croissance d’autres grands réseaux de zombies comme Trickbot, qui a infecté plus d’un million d’ordinateurs avant d’être partiellement perturbé par une coalition de l’industrie de la sécurité et le US Cyber Command en octobre. “Ils étaient particulièrement doués pour se mettre à la défense des entreprises”, explique M. Grooten. “Il suffit de cliquer sur une pièce jointe Word, d’activer les macros, et il s’avère que l’accès à votre ordinateur a été vendu à un opérateur de logiciels de rançon et votre entreprise obtient une rançon de 2 millions de dollars”.
