Un grand ménage de printemps pour les PC infectés par le botnet Emotet s’est déroulé ce week-end. En effet, plusieurs autorités judiciaires européennes ont mené une campagne de désinfection en s’appuyant sur une DLL personnalisée. Cette bombe à retardement a été spécialement conçue pour entraîner l’autodestruction du botnet le dimanche 25 avril.
La Bundeskriminalamt (les forces de l’ordre allemandes) est à l'origine du module de désinstallation d'Emotet et fait suite à la saisine de serveurs de commande et contrôle (C2) du botnet en janvier dernier. Les policiers ont d’abord fait un test sur une machine compromise. Après avoir modifié l'horloge système sur ce PC pour déclencher le module, ils ont constaté qu'il ne fait que supprimer les services Windows associés, les clés de registre à exécution automatique, puis quitte le processus, laissant intact tout le reste sur les terminaux infectés. Le module en question se nomme EmotetLoader.dll, une DLL 32 bits.
Une campagne similaire à celle du FBI sur les serveurs Exchange
Cette campagne de désinfection a été mondiale mais menée et élaborée par les autorités européennes (allemandes et néerlandaises). Elle n’est pas sans rappeler l’initiative prise par le FBI récemment de nettoyer à distance des serveurs Exchange vulnérables aux failles Proxylogon sans l’accord des sociétés concernées. L’agence fédérale avait obtenu un mandat d’un juge pour procéder de la sorte. Dans le cadre d’Emotet, les autorités n’ont pas donné de chiffre sur le nombre de PC désinfectés, mais des spécialistes de la sécurité s’interrogent sur cette façon de faire et sur la transparence liée au module déployé en plaidant pour sa publication.
D’autres se félicitent d’une victoire contre Emotet. Le botnet aurait contrôlé plus d'un million de machines et glané plus de 2 milliards de dollars au fil des ans. Très utilisé par les cybercriminels, il était capable de diffuser les malwares QBot et Trickbot et de mener des campagnes de ransomwares comme ProLock, Egregor ou Ruyk.
Commentaire