L'énorme botnet Emotet a été mis hors ligne à la suite d'un effort de police international impliquant plusieurs pays. Emotet a été l'un des distributeurs de logiciels malveillants et de spam les plus prolifiques au monde au cours des dernières années, et son retrait est un coup dur pour les distributeurs de logiciels malveillants, de rançongiciels et de spam dans le monde entier.
Le 27 janvier 2021, Europol a envoyé un tweet annonçant que le botnet Emotet était en panne.
L'aboutissement d'un effort policier mondial massif impliquant les autorités des Pays-Bas, d'Allemagne, des États-Unis, du Royaume-Uni, de France, de Lituanie, du Canada et d'Ukraine a vu les enquêteurs prendre le contrôle du botnet.
Les enquêteurs et les chercheurs en sécurité ont pris le contrôle de l'infrastructure de commandement et de contrôle d'Emotet dans plus de 90 pays disséminés dans le monde, avec au moins deux arrestations physiques en Ukraine. Les autorités ukrainiennes ont également publié une vidéo montrant des agents saisissant du matériel informatique, de l'argent et des rangées de lingots d'or.
La déclaration officielle d'Europol se lit comme suit :
L'infrastructure EMOET a essentiellement agi comme un ouvre-porte principal pour les systèmes informatiques à l'échelle mondiale. Une fois cet accès non autorisé établi, ceux-ci ont été vendus à d'autres groupes criminels de haut niveau pour déployer d'autres activités illicites telles que le vol de données et l'extorsion par le biais de ransomwares.
La suppression d'Emotet impliquait de perturber des centaines de serveurs, dont beaucoup ont des capacités différentes. Dans le cas d'un botnet massif comme Emotet, la seule façon de perturber et de détruire le réseau est d'en supprimer autant que possible simultanément, ainsi que de procéder à des arrestations physiques sur ceux qui dirigent l'entreprise criminelle.
De nombreux botnets comme EMOET sont de nature polymorphe. Cela signifie que le logiciel malveillant modifie son code à chaque fois qu'il est appelé. Étant donné que de nombreux programmes antivirus analysent l'ordinateur à la recherche de codes malveillants connus, un changement de code peut entraîner des difficultés pour sa détection, permettant à l'infection de passer initialement inaperçue.
Lors des précédentes suppressions de botnets, les efforts coordonnés ont porté un coup dur mais n'ont pas tout à fait tué la bête.
Par exemple, lorsque les autorités et les chercheurs en sécurité ont supprimé le botnet Trickbot, les propriétaires du botnet ont pu le reconstruire. Non seulement cela, mais ils ont pu apprendre des failles qui ont rendu le botnet vulnérable au premier démontage, renforçant ainsi la deuxième version.
Dans le cas d'Emotet, les autorités sont convaincues que suffisamment d'infrastructures de commande et de contrôle ont été saisies pour que recréer le botnet soit très difficile, mais pas impossible.
Il y a aussi une autre menace. Bien qu'Emotet soit hors ligne, les menaces propagées sur le réseau restent actives.
Marcus Hutchins, chercheur en sécurité, conseille aux organisations et aux particuliers d'"effectuer le nettoyage dès que possible", car la menace d'autres types de logiciels malveillants, tels que les rançongiciels Ryuk et Egregor, reste active.
Avec le démantèlement d'Emotet, Europol et ses partenaires ont mis hors ligne une importante menace pour la sécurité mondiale.
