Le malware Emotet était considéré comme le malware le plus répandu dans le passé, utilisant des campagnes de spam et des pièces jointes malveillantes pour distribuer le malware.
Emotet utiliserait ensuite des appareils infectés pour effectuer d’autres campagnes de spam et installer d’autres charges utiles, telles que les logiciels malveillants QakBot (Qbot) et Trickbot. Ces charges utiles seraient ensuite utilisées pour fournir un accès initial aux acteurs de la menace pour déployer des ransomwares, notamment Ryuk, Conti, ProLock, Egregor et bien d’autres.
Au début de l’année, une action répressive internationale coordonnée par Europol et Eurojust s’est emparée de l’infrastructure Emotet et a arrêté deux individus.
Les forces de l’ordre allemandes ont utilisé l’infrastructure pour fournir un module Emotet qui a désinstallé le malware des appareils infectés le 25 avril 2021.
Emotet revient après une opération des forces de l’ordre
Aujourd’hui, les chercheurs de Cryptolaemus, GData, et Intel avancé ont commencé à voir le malware TrickBot lâcher un chargeur pour Emotet sur les appareils infectés.
C’est notre 3e anniversaire de Cryptolaemus1. Merci pour tous les suivis et partages d’informations ces 3 dernières années ! Pour fêter ça, Ivan a sorti une nouvelle version d’Emotet car il se sent exclu et veut faire partie de la fête. Plus de détails à venir. Comme toujours, regardez URLHaus pic.twitter.com/Qwvel32ibB
– Cryptolaemus (@Cryptolaemus1) 15 novembre 2021
Alors que dans le passé, Emotet installait TrickBot, les acteurs de la menace utilisent désormais une méthode appelée « Operation Reacharound » pour reconstruire le botnet Emotet à l’aide de l’infrastructure existante de TrickBot.
Expert Emotet et chercheur Cryptolaemus Joseph Roosen a déclaré à EZpublish-france.fr qu’ils n’avaient vu aucun signe du botnet Emotet effectuant une activité de spam ou trouvé des documents malveillants laissant tomber le logiciel malveillant.
Ce manque d’activité de spam est probablement dû à la reconstruction de l’infrastructure Emotet à partir de zéro et à de nouveaux e-mails de chaîne de réponse volés aux victimes lors de futures campagnes de spam.
Le groupe de recherche Emotet Cryptolaemus a commencé à analyser le nouveau chargeur Emotet et a déclaré à EZpublish-france.fr qu’il incluait de nouvelles modifications par rapport aux variantes précédentes.
« Jusqu’à présent, nous pouvons certainement confirmer que le tampon de commande a changé. Il y a maintenant 7 commandes au lieu de 3-4. Il semble y avoir diverses options d’exécution pour les binaires téléchargés (puisque ce ne sont pas seulement des dll) », ont déclaré les chercheurs de Cryptolaemus à EZpublish-france.fr.
Vitali Kremez d’Intel avancé a également analysé le nouveau compte-gouttes Emotet et a averti que la renaissance du botnet malveillant entraînerait probablement une augmentation des infections par ransomware.
« C’est un signe précoce de l’éventuelle activité imminente des logiciels malveillants Emotet alimentant les principales opérations de ransomware dans le monde étant donné la pénurie de l’écosystème des chargeurs de produits de base », a déclaré Kremez à EZpublish-france.fr lors d’une conversation.
« Cela nous dit également que le retrait d’Emotet n’a pas empêché les adversaires d’obtenir le générateur de logiciels malveillants et de configurer le système backend pour le ramener à la vie. »
Se défendre contre le nouveau botnet Emotet
L’organisation à but non lucratif de suivi des logiciels malveillants Abuse.ch a publié une liste de serveurs de commande et de contrôle utilisés par le nouveau botnet Emotet et suggère fortement aux administrateurs réseau de bloquer les adresses IP associées.
Les serveurs de botnet Emotet C2 frais et actifs sont maintenant poussés vers Feodo Tracker
Nous vous invitons à *BLOQUER* ces serveurs C2 et à mettre régulièrement à jour votre liste de blocage pour bénéficier d’une protection maximale !
https://t.co/if21bBHTpo pic.twitter.com/sdySouHxxb
— abuse.ch (@abuse_ch) 15 novembre 2021
Malheureusement, la nouvelle infrastructure Emotet se développe rapidement, avec plus de 246 appareils infectés faisant déjà office de serveurs de commande et de contrôle.
Il est fortement conseillé aux administrateurs réseau de bloquer toutes les adresses IP associées pour empêcher leurs appareils d’être recrutés dans le botnet Emotet nouvellement réformé.