Connect with us

Technologie

Fin d’Emotet: Un coup porté à la cybercriminalité, mais ne baissez pas la garde

Published

on


Le retrait d’Emotet lors d’une opération mondiale de piqûres le 27 janvier a mis fin – pour l’instant – à l’une des cybermenaces les plus actives et dangereuses au monde. Il est célébré à juste titre dans l’ensemble de la communauté de la sécurité comme un brillant exemple du pouvoir de la collaboration internationale de cibler les acteurs malveillants.

Emotet a commencé sa vie comme un cheval de Troie bancaire en 2014, mais a depuis évolué en un botnet très sophistiqué utilisé comme un malware et mécanisme de livraison ransomware. Il est venu à former un « rouage » clé dans la cybercriminalité croissante comme un racket de service, effectivement se louer à d’autres cybercriminels, leur vendre l’accès à des systèmes compromis pour voler et rançonner les données, et ainsi de suite.

Sa popularité et son succès dépendaient de son efficacité à amener les gens à cliquer sur ses courriels de phishing et à commencer le processus d’infection, selon Tyler Moffitt, analyste chez Webroot, et ce fait fait de son retrait un événement très important, a-t-il ajouté.

« Ransomware est toujours la charge utile deuxième ou troisième étape après Emotet a pris pied dans l’environnement, de sorte que ce retrait est un coup énorme pour les campagnes ransomware, a déclaré Moffitt. « Nous avons déjà vu ransomware auteurs exécuter leurs propres botnets malspam, mais ils n’étaient tout simplement pas aussi efficace. »

Kimberly Goody, responsable senior de l’analyse de la cybercriminalité chez Mandiant, a ajouté : « Entre octobre 2020 et janvier 2021, nous avons observé Emotet distribuer de multiples variantes de logiciels malveillants qui ont été utilisées pour activer les opérations ransomware, il est donc plausible que cette perturbation d’Emotet puisse réduire le pool immédiat de victimes pour le déploiement ransomware. »

Nominet CISO Cath Goulding a convenu qu’il était difficile d’exagérer l’importance d’Emotet hors ligne. « Cela aura un effet immédiat du point de vue de la cybersécurité, Emotet se classant constamment parmi les menaces les plus persistantes auxquelles sont confrontées les individus et les organisations », a-t-elle déclaré. « Emotet a servi de tremplin à un certain nombre de groupes cybercriminels et de techniques d’attaque. Le démantèlement de son infrastructure tuera effectivement un certain nombre d’opérations malveillantes, du moins à court terme.

Récupération après sinistre ?

Les mots clés ici sont « à court terme » parce que, comme nous l’avons vu auparavant, prendre l’infrastructure clé hors ligne ne signifie pas nécessairement qu’Emotet est parti pour de bon, et il serait imprudent de baisser la garde, même pour une seconde.

Ainsi, alors que Sherrod de Grippo, directeur principal de la recherche sur les menaces et de la détection chez Proofpoint, faisait partie de ceux qui célébraient la disparition d’Emotet, elle a dit qu’à ce stade, il était difficile de savoir quel serait le résultat final de l’action.

« Les événements d’application de la loi peuvent avoir, et ont déjà eu, un impact variable sur la perturbation de la technologie et des opérateurs de ces réseaux de zombies à grande échelle », a déclaré M. de Grippo.

« Étant donné qu’il semble s’agir d’une mesure d’application de la loi sur l’infrastructure back-end du botnet Emotet, cela pourrait vraiment être la fin. En outre, si les acteurs de la menace derrière le botnet [TA542] ont été appréhendés, voire perturbés d’une manière ou d’une autre, ce qui pourrait avoir un impact important sur le potentiel des opérations futures.

Moffitt de Webroot a dit que si la perturbation d’Emotet a été un coup de marteau contre les campagnes ransomware, à long terme, il change peu. « Ces pirates seront de retour après qu’ils se trouvent bas pendant un certain temps et des vacances avec leurs gains importants, et je prévois avec un botnet qui a encore plus d’améliorations sur Emotet, at-il dit.

Goody de Mandiant a ajouté : « Mandiant a observé des acteurs de la menace reconstruire leurs botnets à la suite d’autres efforts de démontage ou de perturbation, bien que la probabilité de ce scénario dépende de l’importance des personnes appréhendées. »

Elle a dit qu’il était probable que les partenaires d’Emotet puissent venir à la rescousse sous une forme ou une autre.

« Notamment, les acteurs derrière Emotet ont des partenariats existants avec d’autres opérations de logiciels malveillants notables, y compris Trickbot, Qakbot et Silentnight », a déclaré Goody. « En plus de distribuer ces familles comme charges utiles secondaires, nous avons parfois observé emotet distribué par ces familles dans le passé. Ces partenariats existants et le renouvellement du spamming pourraient être mis à profit pour reconstruire le botnet.

Chris Morales, responsable de l’analyse de sécurité chez Vectra, est allé jusqu’à comparer le retrait d’Emotet à la perturbation d’un important centre de données Amazon Web Services ou Microsoft Azure. « L’impact immédiat se ferait sentir, mais à terme, les organisations qui tireraient parti de cette infrastructure chercheraient à déplacer les services ailleurs, y compris potentiellement gérés à l’interne », a-t-il dit. « Cela pourrait prendre un certain temps, selon les capacités et le financement des organisations qui tirent parti de cette infrastructure. »

Marquer un pour la collaboration

Malgré le fait indéniable que la lutte contre la cybercriminalité est un peu comme jouer à un jeu de sideshow truqué à un champ de foire, il ya des leçons dans le takedown Emotet qui rend peut-être un peu plus probable que (pour continuer l’analogie) quelqu’un pourrait gagner le géant peluche Pikachu à l’avenir.

« La bonne nouvelle, c’est que je vois des signes que les forces de l’ordre apprennent à mieux coordonner les efforts mondiaux pour répondre aux menaces internationales », a déclaré Morales de Vectra. « C’est un bon début pour ce qui, je l’espère, sera une collaboration longue et continue pour cibler ces types d’organisations qui peuvent fonctionner au-delà des frontières d’un pays donné. »

Goulding de Nominet a ajouté : « Pendant des années, les cybercriminels ont exploité la complexité de l’application du droit de la cybersécurité au-delà des frontières. Cette annonce signifie des progrès importants dans la combler ces lacunes et la tenue des cybercriminels responsables. Il s’agit d’une réussite pour tous les pays impliqués dans cet effort de collaboration et établit un processus par lequel la cybercriminalité internationale peut être contrecarrée.

Jordan LaRose, consultant en gestion de F-Secure, a déclaré : « Les organismes d’application de la loi du monde entier qui collaborent à quelque chose comme ça ne sont pas seulement une victoire en ce qu’ils ont probablement paralysé l’un des plus prolifiques droppers de mémoire récente, c’est aussi une victoire dans la collaboration internationale pour lutter contre les cybermenaces qui ciblent les organisations dans le monde entier.

« L’un des aspects les plus difficiles de la réponse aux incidents et de la lutte contre les logiciels malveillants dans son ensemble est de prendre des mesures contre les attaquants qui sont capables d’agir de manière anonyme et en grande partie sans pénalité, en raison des conséquences diplomatiques des représailles contre eux. Ce n’est jamais plus vrai qu’avec un botnet comme Emotet qui a des infrastructures réparties entre les pays du monde entier.

« Cette enquête devrait servir d’avertissement à tous les autres groupes de logiciels malveillants qui ont distribué des stratégies d’attaque ne les protégera pas pour toujours. »

La vigilance est essentielle

Bien que les professionnels de la sécurité puissent se permettre un bref moment de réjouissabilité, il faut toujours répéter que la meilleure infraction contre une menace comme Emotet est une défense solide.

Kelvin Murray, analyste principal de la recherche sur les menaces chez Webroot, a déclaré : « Pour se protéger contre les menaces futures du botnet, les organisations devraient s’assurer qu’elles ont mis en place des logiciels de cybersécurité solides et réputés qui utilisent des renseignements en temps réel sur les menaces et offrent un blindage à plusieurs niveaux pour détecter et prévenir plusieurs types d’attaques à différents stades du cycle d’attaque.

« Ils devraient également exécuter régulièrement des simulations de sensibilisation à la sécurité et d’hameçonnage afin de s’assurer que les utilisateurs finaux savent repérer les messages et les menaces suspects. »

Sam Curry, directeur technique de Cybereason, a ajouté : « Du point de vue d’un défenseur, nous ne renverserons jamais la vapeur sur les attaquants et ne découvrirons pas rapidement les opérations malveillantes en chassant les alertes non corrélées. Nous devons armer les analystes de sécurité d’outils pour faire le lien entre des indicateurs disparates de compromis – et, plus important encore, les indicateurs plus subtils du comportement associé à une attaque – afin qu’ils puissent détecter rapidement et répondre aux opérations malveillantes avec une précision chirurgicale.

« C’est la seule façon d’inverser l’avantage de l’adversaire en détectant plus tôt et en réparant plus rapidement; penser, s’adapter et agir plus rapidement que les attaquants avant qu’ils puissent ajuster leurs tactiques; et avoir la confiance en tant que défenseurs que nous pouvons intercepter et éliminer de manière fiable les menaces émergentes avant qu’une attaque ne dégénère au niveau d’une violation.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance