Pourquoi Emotet est-il de retour, et devrions-nous nous en inquiéter?

Pas si vite

Son retrait de janvier a donc été célébré à juste titre, mais même à l’époque, de nombreux experts en sécurité ont tempéré leur enthousiasme et ont déclaré qu’il était probable qu’Emotet finirait par réapparaître sous une forme ou une autre.

Parmi eux se trouvait Kimberly Goody de Mandiant, qui a déclaré à l’époque qu’il était probable que certaines des opérations partenaires d’Emotet, telles que Trickbot, Qakbot et Silentnight, pourraient être exploitées pour reconstruire le botnet.

Quelque chose de cette nature semble en effet s’être produit maintenant. Les premiers signes qu’Emotet refaisait surface ont commencé à apparaître dans la soirée du 14 novembre, lorsque les analystes de sécurité de GData sont tombés sur des preuves de leurs trackers Trickbot que le bot essayait de télécharger une bibliothèque de liens dynamiques (DLL) dans le système. Une analyse ultérieure a révélé que les DLL étaient Emotet, et le lendemain matin, comme d’autres ont confirmé le lien, la nouvelle se répandait rapidement.

Selon les conversations entre Lawrence Abrams de Bleeping Ordinateur, qui a été l’un des premiers à signaler l’émergence d’Emotet, et les chercheurs en sécurité, les opérateurs du botnet semblent l’avoir reconstruit en utilisant l’infrastructure appartenant à Trickbot – comme l’a théorisé Goody à Mandiant – et cela annonce probablement une poussée d’activité, en particulier parmi les opérateurs de ransomware, dont beaucoup se sont retrouvés sur le reculoir ces derniers temps.

La Momie et le Magicien

Le vice-président principal du renseignement de Crowdstrike, Adam Meyers, a déclaré que la réémergence du botnet, qu’il a attribuée à la forte relation antérieure entre Emotet et les opérateurs de Trickbot (que Crowdstrike suit comme Mummy Spider et Wizard Spider respectivement) était un signe de « la résilience du milieu de la criminalité électronique ».

Meyers a suggéré qu’il était possible que Wizard Spider ait en fait repris Emotet pour lui-même sous une forme ou une autre. Notez d’ailleurs que Wizard Spider compte également les ransomwares Ryuk et Conti dans son arsenal.

Pascal Geenens, directeur du renseignement sur les menaces de Radware, a déclaré qu’il était probable qu’Emotet travaillait avec Trickbot pour s’implanter rapidement, à un point tel qu’il puisse reprendre une croissance autonome, et a suggéré que ce n’était qu’une question de temps avant que cela ne se produise.

« Compte tenu du nombre de campagnes d’extorsion réussies et des énormes paiements impliquant des ransomwares dans l’histoire récente, il devrait y avoir beaucoup de demande pour les plates-formes de logiciels malveillants en tant que service par les opérateurs de ransomware », a déclaré Geenens.

« Le moment est aussi bien choisi pour reprendre les affaires pour les acteurs qui ont été en mesure de soutenir l’une des plateformes de logiciels malveillants les plus importantes et les plus prolifiques de l’histoire de la cybercriminalité. »

Stefano De Blasi de Digital Shadows a déclaré qu’il était probable qu’Emotet serait repris avec enthousiasme. « De nombreux groupes cybercriminels peuvent revenir à Emotet comme une approche éprouvée, bien que ces changements se refléteront probablement sur plusieurs mois », a-t-il déclaré.

« Il faudra sans aucun doute un certain temps pour reconstruire l’infrastructure d’Emotet, cependant, sa réputation massive dans la communauté cybercriminel en fait un choix prévisible pour de nombreux acteurs de la menace qui cherchent à étendre leurs opérations. »

Et ensuite ?

Emotet est peut-être de retour, mais au moment de la rédaction de cet article, son impact semble encore quelque peu limité – bien qu’il existe déjà des indicateurs qu’il est utilisé dans le spam campaigns.

« Pour se protéger, il s’agit vraiment pour les organisations de s’assurer qu’elles identifient rapidement les hôtes compromis et y remédient », a déclaré Meyers de Crowdstrike.

« Sur la base de nos recherches sur le temps d’évasion – c’est-à-dire le temps qu’il faut à un adversaire pour se déplacer latéralement dans un environnement de victime – les équipes de sécurité devraient détecter les menaces en moyenne en une minute, les comprendre en 10 minutes et les contenir en 60 minutes pour être efficaces pour arrêter efficacement les violations. »

Pour l’instant, a déclaré Jen Ellis, vice-présidente des affaires communautaires et publiques à Rapid7, il y a peu de choses hors de l’ordinaire que les défenseurs doivent réellement faire.

« D’après les informations disponibles, il semble que même s’ils en sont encore aux premiers stades de la reconstruction de leur réseau, Emotet envoie déjà du spam », a-t-elle déclaré. « Cela semble indiquer que nous pouvons nous attendre à voir les contrôleurs d’Emotet reprendre leurs activités comme ils le faisaient avant le démantèlement en janvier.

« Depuis lors, cependant, nous avons vu les forces de l’ordre et le secteur privé travailler plus étroitement ensemble sur d’autres actions unifiées pour dissuader et perturber les groupes d’attaquants. Ils surveilleront de près ce développement et je soupçonne qu’ils envisageront déjà des actions potentielles pour empêcher Emotet de revenir à la suprématie dont il jouissait autrefois.

« En attendant, c’est comme d’habitude pour les professionnels de la sécurité », a déclaré Ellis. « Le nom Emotet peut susciter la peur dans leur cœur, mais la réalité est qu’ils sont attaqués tous les jours et que toutes les mêmes mesures nécessaires pour se défendre contre ces attaques sont les mêmes pour Emotet. Des correctifs opportuns, des stratégies efficaces de gestion des identités et des accès, la segmentation du réseau, des sauvegardes hors ligne régulières, le filtrage des e-mails et la sensibilisation des utilisateurs sont tous des éléments essentiels d’une stratégie de défense en profondeur et de résilience commerciale.

Le chercheur d’Appgate Felipe Duarte Domingues avait des conseils similaires pour les défenseurs. « Les responsables informatiques et les équipes de cybersécurité doivent gérer cette nouvelle version d’Emotet comme toute autre menace de malware, en déployant des mesures de sécurité raisonnables et en formant les employés contre les attaques d’ingénierie sociale telles que les e-mails et le phishing », a-t-il déclaré.

« Il est important de noter que ces nouvelles fonctionnalités montrent que les acteurs se concentrent sur l’exécution d’autres logiciels malveillants avec Emotet. Les botnets comme Trickbot sont souvent utilisés pour se propager et se déplacer latéralement dans un réseau, et même déployer des ransomwares.

« L’adoption d’un modèle de confiance zéro est importante pour toute organisation qui souhaite être protégée contre Emotet ou tout autre botnet [or] menace de ransomware. En supposant que toutes les connexions peuvent être compromises et en segmentant votre réseau, vous pouvez limiter les systèmes affectés et les actions de menace à un seul périmètre et augmenter les chances de détecter des comportements malveillants à l’intérieur de votre réseau.

Réponse rapide

Du côté positif, Doug Britton, PDG de Haystack Solutions, une société de services de sécurité basée aux États-Unis, a déclaré que cela pourrait être un signe positif qu’Emotet ait été repéré et identifié si rapidement.

« Emotet est un malware omniprésent et révélateur du recyclage et de l’évolution des techniques de livraison de logiciels malveillants », a-t-il déclaré. « Il est très intéressant de voir cela dans une première manche de la restructuration et de la reconstruction d’Emotet et de son infrastructure de bot-spamming.

« Il est prometteur d’entendre que les chercheurs ont identifié cela de manière proactive. Les cyber-professionnels sont essentiels dans la lutte contre la menace persistante des logiciels malveillants en évolution. Comme nous pouvons le voir, les mauvais acteurs développent les tuyaux pour fournir des logiciels malveillants à grande échelle.