Microsoft, l'Italie et les Pays-Bas mettent en garde contre une activité accrue d'Emotet

Deux semaines après que les agences de cybersécurité de France, du Japon et de Nouvelle-Zélande ont publié des avertissements sur une hausse de l'activité d'Emotet, de nouvelles alertes ont été publiées la semaine dernière par des agences en Italie et aux Pays-Bas, mais aussi par Microsoft. L'activité Emotet a continué d'augmenter, éclipsant toute autre opération malveillante active aujourd'hui. « Elle a été très lourde pendant [Emotet] Spam dernièrement « , a déclaré à ZDNet au cours d'une interview aujourd'hui Joseph Roosen, membre de Cryptolaemus, un groupe de chercheurs en sécurité qui suivent les campagnes de malware Emotet. » J'ai reçu environ 400 e-mails sur mon [dayjob] Lundi, alors qu'il n'est normalement qu'une douzaine ou moins de 100 par jour « , a déclaré Roosen, mettant le récent pic en perspective. » Cela a été le cas ces deux dernières semaines. « 

Emotet est revenu en juillet mais envoie désormais du spam à pleine capacité

Emotet, de loin le plus grand botnet de logiciels malveillants d'aujourd'hui, a été inactif pendant la majeure partie de cette année, de février à juillet, date à laquelle il a fait son retour.L'équipage d'Emotet espérait un retour rapide à pleine capacité, mais son retour a été gâté et retardé pour près d'un mois par un justicier qui a continué à pirater l'infrastructure d'Emotet et à remplacer son malware par des GIF animés.

Microsoft, l'Italie et les Pays-Bas mettent en garde contre une activité accrue d'Emotet

Malheureusement, cela n'a pas duré longtemps, et les opérateurs d'Emotet ont finalement trouvé un moyen d'arrêter le pirate informatique et ont maintenant repris le contrôle total de leur botnet, qu'ils utilisent maintenant pour générer de plus en plus de spam chaque jour. avec des fichiers malveillants attachés, qui infectent l'hôte avec le malware Emotet. Le gang Emotet vend ensuite l'accès à ces hôtes infectés à d'autres gangs de cybercriminalité, y compris des opérateurs de ransomwares.Plusieurs fois, et en particulier dans les grands environnements d'entreprise, une infection Emotet peut se transformer en une attaque de ransomware en quelques heures.C'est pourquoi les agences de cybersécurité et les équipes CERT en France, au Japon, en Nouvelle-Zélande, en Italie et aux Pays-Bas traitent les campagnes de spam d'Emotet avec tant de peur et de respect, et pourquoi ils lancent des alertes aux entreprises de leurs pays respectifs pour renforcer les défenses contre la supercherie de spam d'Emotet. un grand sac d'astuces en ce qui concerne ses opérations de spam.Roosen, qui traque le botnet depuis des années maintenant, dit qu'Emotet privilégie actuellement l'utilisation d'une technique appelée « chaînes d’email » ou « treads détournées ». La technique repose sur le gang Emotet a d'abord volé une chaîne de courrier électronique existante à un hôte infecté, puis répondu à la chaîne de courrier électronique avec sa propre réponse (en utilisant une identité falsifiée), mais en ajoutant également un document malveillant, dans l'espoir de tromper les participants existants de la chaîne de messagerie pour qu'ils ouvrent le fichier et s'infectent eux-mêmes.Emotet utilise cette technique depuis octobre 2018 et l'a favorisée au fil des ans, en l'utilisant à plusieurs reprises auparavant.La technique est assez intelligente et efficace et a également été détaillée dans un rapport publié aujourd'hui par Palo Alto Networks.

Image: Réseaux Palo Alto

Mais les alertes de Microsoft et des autorités italiennes mettent également en garde contre un autre changement récent dans les campagnes de spam Emotet, qui exploitent désormais également des fichiers ZIP protégés par mot de passe au lieu de documents Office.L'idée est qu'en utilisant des fichiers protégés par mot de passe, les passerelles de sécurité de messagerie peuvent « t ouvrir l'archive pour analyser son contenu, et ne verra pas de traces de malware Emotet à l'intérieur.Roosen a déclaré à ZDNet qu'Emotet utilise cette technique avec parcimonie depuis la mi-2019, mais récemment, ils ont commencé à augmenter sa prévalence parmi les campagnes de spam Emotet, d'où la raison pour laquelle Microsoft et d'autres réagissent maintenant à son apparition soudaine.

Emotet a rejoint le mouvement des pièces jointes protégées par mot de passe avec une campagne commençant vendredi. La campagne a ralenti au cours du week-end (typique d'Emotet) mais était de retour aujourd'hui dans des volumes encore plus importants d'e-mails en anglais, ainsi que dans certaines langues européennes. pic.twitter.com/POppQ51uMX— Microsoft Security Intelligence (@MsftSecIntel) 22 septembre 2020

Array

Tags: ,