Les autorités des Pays-Bas, d'Allemagne, des États-Unis, du Royaume-Uni, de France, de Lituanie, du Canada et d'Ukraine ont mené une opération de grande envergure contre l’un des botnets les plus dangereux. Coordonnée par Europol, l’offensive contre Emotet a, a priori, mené au démantèlement du botnet et à l’arrestation de plusieurs personnes en Ukraine.
Emotet, apparu pour la première fois en 2014 sous la forme d’un simple malware bancaire, est devenu depuis 2017 l’un des botnets les plus importants au monde, évoluant vers un programme capable de distribuer d’autres logiciels malveillants. Après une pause de six mois l’an dernier, Emotet est revenu plus fort que jamais à l’automne, visant entre autres des organisations françaises.
Mais ses déprédations touchent à leur fin : Europol annonce avoir coordonné une opération des forces de l’ordre de plusieurs pays afin de démanteler le botnet. “Les enquêteurs ont maintenant pris le contrôle de son infrastructure dans le cadre d'une action internationale coordonnée” écrit l’organisation internationale. Les machines infectées des victimes ont été redirigées vers une infrastructure contrôlée par les forces de l'ordre.
Une désinfection à venir
L’opération a été menée en parallèle en Allemagne, au Pays-Bas, au Royaume-Uni, en France, en Lituanie, en Ukraine, au Canada et au États-Unis, avec le pilotage d’Europol et Eurojust dans le cadre d’EMPACT, la plateforme multidisciplinaire européenne contre les menaces criminelles. Plusieurs serveurs ont été saisis en Allemagne, au Pays-Bas, en Lituanie et en Ukraine. Les autorités ukrainiennes ont confirmé avoir procédé à au moins deux arrestations.
“L'infrastructure utilisée par EMOTET impliquait plusieurs centaines de serveurs situés à travers le monde, tous ayant des fonctionnalités différentes afin de gérer les ordinateurs des victimes infectées, de se propager à de nouveaux, de servir d'autres groupes criminels” explique le communiqué d’Europol.
La police néerlandaise, dans le cadre de cette opération, a mis la main sur une base de données contenant des adresses électroniques, des noms d'utilisateur et des mots de passe compromis. Le CERT local a mis en place un outil permettant de vérifier si son adresse mail fait partie de la liste. Les autorités allemandes ont de leur côté récupéré une base d’adresses IP, qu’elles transmettront aux opérateurs afin qu’ils avertissent les utilisateurs victimes d’Emotet.