Après la retraite officielle du groupe Conti, le botnet Emotet est désormais utilisé par des groupes RaaS tels que Quantum et BlackCat.
Les débuts du botnet Emotet
Le cheval de Troie Emotet a été utilisé pour la première fois en 2014 pour intercepter les données d’accès aux comptes bancaires. Peu à peu, les développeurs de logiciels malveillants ont ajouté des mises à jour au cheval de Troie, le rendant beaucoup plus dangereux. L’une de ces mises à jour a amené les attaquants à utiliser le botnet Emotet pour lire les e-mails des personnes concernées et réutiliser le contenu pour diffuser davantage Emotet.
Il y avait aussi des changements dans le cheval de Troie. Ceux-ci permettent aux attaquants de télécharger diverses charges utiles sur les systèmes des personnes concernées afin de contrôler ensuite ces systèmes à distance.
Fin et réédition d’Emotet
Afin de maîtriser le cheval de Troie, une opération coordonnée a été menée par Europol avec des enquêteurs néerlandais du Politie et des policiers allemands de l’Office fédéral de la police criminelle. Le but de cette mission était de détourner l’infrastructure. Après la prise de contrôle réussie, les enquêteurs ont détruit la même infrastructure et ont ainsi empêché la propagation du cheval de Troie à l’aide du botnet Emotet.
Cependant, les chercheurs en sécurité ont observé une augmentation et une réapparition du cheval de Troie par le biais de spams et de faux courriers au début de cette année.
AdvIntel a observé 1 267 598 systèmes infectés cette année seulement. Il y a eu une augmentation significative en février et mars, lors du début du conflit russo-ukrainien. Jusqu’à présent, Conti a utilisé exclusivement le botnet Emotet, mais maintenant d’autres groupes de rançongiciels, tels que Quantum et BlackCat, utilisent également les mêmes chaînes de distribution.
Le groupe de rançongiciels Conti s’est peut-être dissous, mais certains de ses membres restent actifs dans d’autres groupes. Ceux-ci incluent BlackCat et Hive, mais certains membres mènent également des activités criminelles par eux-mêmes.
Modèle typique du botnet Emotet
Également connu sous le nom de SPMTools, le botnet Emotet a été utilisé comme vecteur d’attaque par de nombreux groupes criminels en ligne. Dans un modèle d’attaque typique, les cybercriminels utilisent SPMTools comme vecteur d’attaque, puis utilisent Cobalt Strike, qui à son tour espionne le système.
Le groupe susmentionné Quantum est également connu comme un spin-off de Conti, qui utilise une variété de vecteurs d’attaque pour pénétrer dans les systèmes des ordinateurs compromis. Il s’agit notamment de techniques telles que : l’hameçonnage, y compris l’hameçonnage par rappel, les données de connexion compromises, la propagation de logiciels malveillants et l’exploitation des faiblesses du système. Ces méthodes sont également utilisées pour faire proliférer le cheval de Troie Emotet.
Les chiffres montrent que les États américains ont le plus de systèmes infectés, suivis de la Finlande, du Brésil, des Pays-Bas et de la France.
Selon ESET, le nombre de systèmes infectés a été multiplié par 100 au cours des quatre premiers mois de 2022. Cependant, vers la fin du mois d’août, Emotet est tombé à la cinquième place parmi les logiciels malveillants les plus répandus.