Les efforts internationaux portent leurs fruits. Deux malwares renommés ont été, au moins en partie, réduits au silence. Des collaborations internationales complexes à mettre en œuvre mais désormais nécessaires.

Lors de la conférence PanoCrim 2020 organisée par le Clusif, le Directeur de l’ANSSI insistait sur l’importance de faire progresser la coopération internationale en matière de lutte conte la cybercriminalité, se réjouissait de progrès récents et rappelait qu’il « est essentiel de faire en sorte que le coût pour les cyberattaquants soit bien plus lourd. Aujourd’hui, ils jouent sur du velours et sont à peu près sûrs dans le pire des cas de ne rien gagner mais ne rien perdre non plus ».

Un botnet en moins…

Hier on a appris à quelques heures d’intervalle que des collaborations internationales avaient permis d’éteindre, au moins en partie, le plus important botnet du moment Emotet, et le dévastateur ransomware Netwalker. Le premier est une victoire européenne, le second une victoire américaine.

Mené conjointement par Europol et le FBI, le démantèlement d’Emotet, même s’il n’est pas total, est une belle victoire contre le monde de la cybercriminalité. L’infrastructure répartie de ce célèbre Botnet né en 2014 est utilisée par des cybercriminels pour diffuser des campagnes de Phishing, distribuer des malwares et diffuser des rançongiciels à travers le monde. Le réseau de machines zombies étaient loué aux cybercriminels pour infecter d’autres machines et porter des attaques ciblées contre des entreprises ou des organismes publics. Typiquement, le ransomware Ryuk ou le trojan TrickBot ont exploité le réseau Emotet pour se diffuser.

« L’augmentation du nombre d’attaques par le tristement célèbre malware Emotet n’a rien de surprenant et, l’équipe de recherche et de renseignement de BlackBerry surveille aussi de près les botnets qui lui sont liés (Epoch 1, Epoch 2 et Epoch 3) » explique ainsi Tom Bonner, Distinguished Threat Researcher chez BlackBerry. « Ces botnets fonctionnent comme une plateforme de diffusion de malwares… et dernièrement, nos chercheurs ont observé un changement dans leur fonctionnement : ils propagent des chevaux de Troie bancaires nommés « Qbot » et « Trickbot », ainsi que des outils additionnels notamment destinés à usurper les identités, des malwares brute-force pour hacker des WiFi ou encore des spams. De plus, ils utilisent des modules destinés à propager horizontalement l’infection une fois introduite sur le réseau, tout en restant disponible pour un accès ultérieur par les hackers. »

Selon d’autres sources, Emotet était utilisé par plus de 30% des attaques par malwares. Souvent considéré comme une menace grand public, Emotet était aussi une menace pour les entreprises par les ransomwares qu’il diffusait. « Les données du réseau de renseignements ThreatCloud montrent qu’Emotet a eu un impact sur 19 % des entreprises dans le monde entier au cours de l’année dernière » rappelle Lotem Finkelsteen, responsable des renseignements sur les menaces chez Check Point Software. C’est d’ailleurs par ce réseau botnet que des entreprises françaises comme Airbus, Econocom, Faurecia et d’autres auraient été attaquées.

Il a fallu une semaine d’actions synchronisées entre Europol, le FBI, et les forces policières anglaises, canadiennes, françaises, lithuaniennes, néerlandaises et ukrainiennes pour prendre le contrôle du cœur de l’infrastructure du réseau. Pour l’instant, et jusqu’à ce que des cybercriminels arrivent à trouver une parade, toutes les machines enrôlées dans le réseau zombie Emotet communiquent désormais avec des serveurs sous contrôle des forces de police. Toute la difficulté était d’arriver à prendre le contrôle des 90 serveurs répartis à travers de multiples pays qui contrôlaient le réseau zombie et les millions de machines infectées.

« Emotet a été proposé par ses créateurs comme logiciel malveillant en tant que service à d’autres cybercriminels. Le fait d’avoir une portée aussi large et tant de fonctionnalités est la raison pour laquelle le voir désarmé par les autorités est une bonne nouvelle pour le monde de la cybersécurité » explique Adolf Streda, analyste de logiciels malveillants chez Avast.

Il y a cependant peu de chances que le démantèlement impacte de façon notable le nombre actuel des cyberattaques. Dans l’univers des Botnets, les réseaux ne tombent jamais intégralement et de nouveaux prennent la relève en un temps record. D’autant que, à priori, la chute d’Emotet ne devrait pas impacté ses dérivés « Epoch ».

Et un ransomware réduit au silence

L’autre victoire du jour a été annoncée quelques heures après par le Département de la Justice américain avec l’arrestation d’un ressortissant canadien soupçonné d’avoir extorqué près de 28 millions de dollars aux entreprises en 2020 à travers les activités du ransomware NetWalker.

Outre cette arrestation, une collaboration avec la police de Bulgarie a permis de saisir les ressources des nœuds Thor utilisés pour communiquer avec les victimes du ransomware et leur livrer les instructions de paiement des rançons.

Autrement dit, un coup dur a été porté à NetWalker. Mais là encore, il nait de nouveaux ransomwares régulièrement.

On peut toutefois espérer que ces démantèlements entraîneront au moins temporairement une baisse des cyberattaques sur les infrastructures informatiques des entreprises.