Qu’est-ce qu’Emotet ?
À l'origine, Emotet était un malware de type cheval de Troie bancaire. Son rôle était d'infiltrer discrètement les ordinateurs afin de dérober des informations sensibles comme des coordonnées bancaires. Le malware effectuait des tâches malveillantes telles que la suppression de logiciel, la copie sur d’autres périphériques physiquement connectés ou la suppression de fichiers.
Le nettoyage complet d’Emotet sur un réseau pouvait coûter jusqu’à un million de dollars comme l’attaque du logiciel sur la ville d’Allentown aux USA.
Emotet se propageait initialement à travers des mails de phishing dit "mal spam" (malware spam) ou spam de logiciel malveillant.
Comment fonctionnait-il ?
La première étape d’une attaque d’Emotet consistait à s’introduire dans le maximum d’ordinateurs à travers des campagnes de phishing imposantes.
Les mails distribuaient des documents Word frauduleux joints à l’email ou téléchargeables en cliquant sur un lien dans le mail. Une fois le document Word ouvert, la victime devait activer l’exécution de macros. Ainsi, le code malveillant s’exécutait pour installer le malware Emotet. Ensuite, en utilisant le poste nouvellement infecté, il envoyait de nouveaux emails de phishing aux contacts de la victime en usurpant son identité.
Afin de déjouer les scans antivirus des boîtes mails, le malware chiffrait le document infecté dans une archive compressée ZIP. Un mot de passe nécessaire pour ouvrir l'archive compressée figurait dans le corps du mail afin que l’utilisateur puisse l’ouvrir.
Les antivirus des boîtes mails n’ayant pas la capacité d'interpréter le texte du corps de l'email pour déchiffrer et scanner l’archive, ils ne pouvaient pas s’assurer du contenu des pièces jointes et distribuaient donc celles-ci dans les boîtes mails.
Une fois dans le réseau, le malware se propageait à travers les ordinateurs connectés entre eux en testant pour chacun une liste de mots de passe fréquemment utilisés.
Le logiciel utilisait aussi en plus des méthodes de phishing, les vulnérabilités Eternal Blue ainsi que DoublePulsar, comme le faisait WannaCry. Ces failles ont été découvertes et développées par la NSA pour implanter une porte dérobée dans des ordinateurs vulnérables. Ses vulnérabilités permettent à Emotet de se propager sur un réseau interne de systèmes pour infecter d’autres équipements.
Comme nous le verrons juste après, Emotet a évolué au fil du temps et bien qu'au début il ne faisait qu'exfiltrer de la donnée, le malware a par la suite évolué pour permettre l'installation d'autres programmes comme le cheval de Troie bancaire Trickbot et le ransomware Ryuk.
L’histoire d'Emotet
Le premier recensement du malware Emotet est en 2014. Il est identifié comme cheval de Troie bancaire — qui ciblait les identifiants et informations bancaires sensibles sur le réseau ciblé — avant de devenir un cheval de Troie modulable, permettant des attaques plus versatiles.
La première version du malware consistait à voler des informations liées aux comptes bancaires de la victime. La deuxième version a intégré un système de transfert d’argent ainsi qu’un module qui ciblait les banques allemandes et autrichiennes.
En janvier 2015, une troisième version d’Emotet voit le jour intégrant des modifications pour être plus discret et moins détectable. En 2017, le logiciel devient encore plus redoutable : il installe d’autres malwares comme TrickBot ou Ryuk, créant de nouvelles possibilités pour l’attaquant.
Dans le cadre d’une opération nommée LadyBird, les autorités de plusieurs pays (Pays-Bas, Allemagne, USA, Canada, Royaume-Uni, France, Lituanie et Ukraine) ont réussi à prendre le contrôle des serveurs utilisés par Emotet pour faire fonctionner le malware. Emotet était composé de trois associations de serveurs, Epoch 1, Epoch 2 et Epoch 3. L’opération a permis de rendre inutilisable 700 serveurs associés à Emotet, permettant d’endiguer la propagation du cheval de Troie.
En janvier 2021, La police allemande (BKA) a diffusé une mise à jour sur les ordinateurs infectés pour détruire Emotet. La mise à jour contenait une DLL de 32 bits nommée “EmotetLoaderdll” qui a désactivé automatiquement Emotet des équipements corrompus le 25 avril 2021. La BKA a déployé l’update en utilisant les mêmes canaux qu’utilise Emotet pour se propager.
L’entreprise MalwareBytes a d’ailleurs confirmé la désinstallation d’Emotet sur sa machine témoin, contaminée à des fins d’analyse de menace. Néanmoins, cette update ne permet pas de désinstaller les autres logiciels malveillants qui ont été installés via d’Emotet.
Les cibles d’Emotet
Emotet n’avait pas de cible spécifique. Le logiciel avait premièrement infecté le plus de machines possibles pour pouvoir usurper les identités de particuliers lors de mails de phishing, favorisant ainsi sa propagation.
Les cibles finales étaient majoritairement des entreprises et des entités gouvernementales situées en Europe et aux Etats-Unis.
En février 2018, Allentown une ville en Pennsylvanie a subi une attaque d’Emotet qui a infecté les ordinateurs gouvernementaux et dérobé les identifiants de connexion des employés. Microsoft est intervenu afin de réduire les dégâts et les coûts pour éradiquer le virus. Les dommages de l'attaque ont coûté un million de dollars pour une ville de 120 000 habitants.
Emotet a également infecté Heise Online, une maison d’édition allemande en mai 2019. Le vecteur d’attaque était un simple mail de phishing qui indiquait un transfert d’argent avec un partenaire commercial. Un employé de l'entreprise a ouvert une pièce jointe contenue dans le mail. L’ouverture a permis à plusieurs machines externes liées à Emotet d’avoir accès au réseau de l’entreprise.
En septembre 2019, le département des affaires intérieures du Sénat de Berlin ainsi que la haute juridiction Kammergericht ont été victimes d’Emotet. 550 ordinateurs ont dû être déconnectés du système de l’Etat car le malware a été identifié trop tard.
En juillet 2020, Emotet revient à la charge avec une série d’attaques à travers le monde. En France, le Tribunal de Paris, Orléans et une dizaine d'académies - Tours, Nantes, Rennes, Amiens, Nancy, Strasbourg, Lyon, Grenoble, Montpellier, Toulouse, Aix-Marseille, Versailles, Paris et Créteil - ont été victimes du malware. Quelques mois après, ce sont Air France KLM ainsi que la SSII Umanis qui se sont retrouvées infectées par Emotet.
Les opérateurs derrière le malware
En 2018, Symantec a identifié les opérateurs derrière Emotet en les nommant Mealybug (cochenille en français). Le groupe possède d’autres noms : Mummy Spider, GoldCrestwood ou encore TA542 comme mentionnée dans le rapport de l’ANSSI. Un groupe d’individus anti-Emotet avait d’ailleurs choisi de se nommer Cryptolaemus, une espèce de coléoptères qui chasse les cochenilles.
Selon Trend Micro, les opérateurs d’Emotet, de Dridex et de Gozi ISFB (Ursnif) - trois différents malwares - auraient en commun un fournisseur et pourraient échanger entre eux des ressources. En effet, Gozi ISFB utiliserait la même méthode de dissimulation de macros qu’Emotet. L’entreprise japonaise a identifié cette méthode uniquement à travers Emotet et Gozi ISFB.
Qakbot ou Qbot est un cheval de Troie bancaire recensé en 2007. Il possède plusieurs points communs avec Emotet : les codes utilisent le même outil pour masquer un fichier, le chiffrer, le compresser ou changer son format. Les deux opérateurs ont utilisé la technique de détournement de fils de discussion pour distribuer les deux codes par des sites Wordpress compromis.
Grâce à ces indices, Trend Micro envisage que les opérateurs derrière Gozi ISFB, Emotet et Qakbot pourraient collaborer ensemble et même faire partie de la même équipe.
Emotet est un cheval de Troie qui aura réussi à faire parler de lui. De nombreux articles recensent son histoire, son fonctionnement et ses différentes attaques. Malgré l’impact mondial du malware, l’opération LadyBird reste un très bel exemple de coopération des différentes forces de l'ordre nationales. L’intervention nous montre également un aperçu de la lutte contre la cybercriminalité. De nombreuses attaques sont encore probablement devant nous renforçant jour après jour ce combat acharné envers les menaces numériques.
Encore plus impressionnant est la capacité qu’a un cheval de Troie à se répandre à travers des campagnes de phishing. Si les utilisateurs n’avaient pas ouvert et exécuté les macros de pièces jointes suspectes, la propagation serait bien plus limitée.
Il s’agit encore une fois de plus de la démonstration d'une nécessité d’entraîner vos collaborateurs. Ils doivent traiter avec vigilance les emails et être responsable face à l’impact de leurs actions sur la sécurité de l’entreprise.
