Le botnet Emotet, l'un des plus gros logiciels de cybercriminalité en activité depuis six ans,

A été neutralisé grâce à une opération coordonnée par Europol impliquant les autorités de huit pays

Les autorités de huit pays, dont la France, les États-Unis, le Royaume-Uni et l’Allemagne, ont pris le contrôle de l’infrastructure d’Emotet, l’un des logiciels malveillants les plus importants de la cybercriminalité mondiale, a annoncé Europol, mercredi 27 janvier. Depuis plus de six ans, Emotet a infecté des centaines de milliers d’ordinateurs dans le monde. Ses auteurs vendaient ensuite pour d’autres cybercriminels l’accès à ces machines compromises. Opération nébuleuse jusqu’alors, Emotet servait de porte d’entrée pour un grand nombre de cyberattaques.

Emotet est une souche de malware et une plateforme de cybercriminalité qui serait basée en Russie. Elle aurait été démantelée en Ukraine. Le malware, également connu sous le nom de Geodo et Mealybug, a été détecté pour la première fois en 2014.


Les premières versions du malware Emotet fonctionnaient comme un cheval de Troie bancaire visant à voler les informations d'identification bancaires des hôtes infectés. Tout au long de 2016 et 2017, les opérateurs Emotet ont mis à jour le cheval de Troie et l'ont reconfiguré pour qu'il fonctionne principalement comme un « chargeur », un type de logiciel malveillant qui accède à un système, puis permet à ses opérateurs de télécharger des charges utiles supplémentaires. Les charges utiles de la deuxième étape peuvent être n'importe quel type de code exécutable, des propres modules d'Emotet aux logiciels malveillants développés par d'autres cybercriminels.

L'infection initiale des systèmes cibles passe souvent par un virus de macro dans une pièce jointe à un e-mail. L'e-mail infecté est une réponse d'apparence légitime à un message antérieur qui a été envoyé par la victime.

Il a été largement documenté que les auteurs d'Emotet ont utilisé le malware pour créer un botnet d'ordinateurs infectés auquel ils vendent l'accès dans un modèle d'Infrastructure-as-a-Service (IaaS), appelé dans la communauté de cybersécurité MaaS (Malware-as -a-Service), Cybercrime-as-a-service (CaaS) ou Crimeware. Emotet est connu pour louer l'accès à des ordinateurs infectés à des opérations de ransomware, comme le gang Ryuk.

En juillet 2020, des campagnes Emotet ont été détectées dans le monde entier, infectant ses victimes avec TrickBot et Qbot, qui sont utilisés pour voler des informations d'identification bancaires et se propager à l'intérieur des réseaux. Certaines des campagnes antispam contenaient des documents malveillants portant des noms tels que « form.doc » ou « facture.doc ».


« Emotet est actuellement considéré comme le logiciel malveillant le plus dangereux au monde », a déclaré l'agence de police fédérale allemande BKA dans un communiqué. «La destruction de l'infrastructure Emotet est un coup dur contre la criminalité internationale organisée sur Internet.»

Selon le communiqué d’Europol, qui a coordonné l’enquête pendant deux ans, l'infrastructure utilisée par EMOTET « impliquait plusieurs centaines de serveurs situés à travers le monde, tous ayant des fonctionnalités différentes afin de gérer les ordinateurs des victimes infectées, de se propager à de nouveaux, de servir d'autres groupes criminels, et finalement de faire que le réseau est plus résistant aux tentatives de retrait ».

Par la suite, Europol explique que « pour perturber gravement l'infrastructure EMOTET, les forces de l'ordre se sont associées pour créer une stratégie opérationnelle efficace. Cela a abouti à l’action de cette semaine par laquelle les forces de l’ordre et les autorités judiciaires ont pris le contrôle de l’infrastructure et l’ont démontée de l’intérieur. Les machines infectées des victimes ont été redirigées vers cette infrastructure contrôlée par les forces de l'ordre. Il s'agit d'une approche unique et nouvelle pour perturber efficacement les activités des facilitateurs de la cybercriminalité ».

La police allemande a déclaré que les infections à Emotet avaient causé au moins 14,5 millions d'euros (17,56 millions de dollars...