Dans le domaine de la cybersécurité, certains chevaux de Troie ont un tel pouvoir de nuisance qu’ils finissent par être redoutés dans le monde entier. C’est le cas d’Emotet, un malware connu depuis 2014 et qualifié par certains de « malware le plus dangereux du monde ».
Comment fonctionne le malware Emotet ? Quelles sont ses particularités ? Pourquoi est-il si dangereux ? Tour d’horizon.
Quand est apparu Emotet et quelles sont ses évolutions ?
Du malware bancaire au botnet
La première apparition du malware (logiciel malveillant) Emotet date de 2014, sous la forme d’un cheval de Troie bancaire. Son objectif est d’infecter des ordinateurs pour voler des informations bancaires, accéder aux comptes en ligne des victimes et vider le contenu de leurs comptes. Emotet était utilisé à l’époque pour mener des cyberattaques visant des banques allemandes et autrichiennes.
Emotet a évolué au fil des années, jusqu’à devenir un cheval de Troie doté de fortes capacités de propagation et d’infection des ordinateurs à travers le monde. Il peut donc également être qualifié de « botnet », un réseau d’ordinateurs infectés dont les hackers prennent le contrôle pour mener d’autres cyberattaques, comme l’installation d’un ransomware (ou « rançongiciel »). L’objectif des hackers qui pilotent Emotet est de mettre sur pied un réseau d’ordinateurs infectés et de louer leur accès à d’autres entités de cybercriminels. Emotet s’est donc structuré au point de devenir un « ransomware as a service ».
Tentative de démantèlement
Emotet a été repéré par les réseaux de lutte contre la cybercriminalité et a fait l’objet d’une tentative de démantèlement en janvier 2021, portée par Europol et 8 pays européens.
Si cette tentative de démantèlement a été saluée, elle n’a cependant pas porté un coup d’arrêt final au célèbre malware. À la fin de l’année 2021, des traces d’Emotet étaient toujours visibles et le logiciel semblait donc loin d’être éradiqué. Une nouvelle version du botnet Emotet a même été détectée à l’été 2022 (vol d'informations bancaires enregistrées dans le navigateur Chrome).
Comment se diffuse Emotet ?
Le malspam, principal vecteur de diffusion d’Emotet
Les principaux modes de propagation utilisés par Emotet sont des campagnes d’infection via des e-mails de spam. Emotet se propage en utilisant les ressorts classiques de l’ingénierie sociale, en prenant par exemple l’apparence de marques ou d’entités connues pour inciter les utilisateurs à cliquer sur des liens frauduleux ou des pièces jointes infectées. Une fois déployé dans un système, Emotet accède à la liste de contacts de l’utilisateur et peut leur envoyer des e-mails. Il existe différentes versions d’Emotet. Certaines utilisent des scripts malveillants, d’autres des macros.
Pourquoi Emotet est-il si dangereux et si difficile à repérer ?
Emotet échappe aux détections et aux analyses mises en place par certains outils anti-malwares. D’autre part, il se propage à d’autres ordinateurs connectés en utilisant des fonctionnalités similaires à celles utilisées par les vers. Certains ont qualifié ce malware de « polymorphe » car il peut changer à chaque téléchargement. Il échappe aux détections basées sur les signatures. Tous ces éléments le rendent particulièrement difficile à repérer.
Enfin, les cybercriminels peuvent le mettre à jour d’une manière similaire aux mises à jour effectuées par le système d’exploitation d’un ordinateur. Cela leur permet également d’installer d’autres malwares. En résumé, Emotet évolue et reste actif en permanence. Sa diffusion est redoutable et le coût de nettoyage après incident est particulièrement élevé.
Comment se protéger d’Emotet ?
Emotet s’attaque aux particuliers comme aux entreprises, et aussi bien au secteur privé que public. De nombreuses infections commencent de la même manière, avec des hackers qui tentent d’inciter un utilisateur à cliquer sur un lien frauduleux ou à télécharger un fichier infecté. Si un e-mail et son expéditeur vous semblent suspects, ne cliquez pas sur les liens contenus dans l’e-mail et n’ouvrez pas les pièces jointes. Supprimez l’e-mail en question.
Vous pouvez également, dès que cela est possible, protéger l’accès à vos comptes grâce à la double authentification (ou MFA). L’utilisation d’un gestionnaire de mots de passe vous permet également de générer des mots de passe complexes et solides.
Enfin, vous pouvez utiliser des programmes permettant de détecter les menaces. Leur rôle est d’analyser les différents fichiers téléchargés par l’utilisateur et de les supprimer si un malware est détecté.
Comment supprimer Emotet ?
Si votre ordinateur est relié à un réseau, vous devez isoler votre matériel pour procéder au nettoyage du système informatique. Emotet ayant la capacité de propager différents malwares, supprimer Emotet ne suffit pas. Il faut également supprimer les autres malwares qui ont potentiellement été diffusés par Emotet.
D’autre part, vous devez également nettoyer l’ensemble des ordinateurs connectés au réseau en les isolant, car la particularité d’Emotet est de pouvoir se propager sur l’ensemble d’un réseau.
Il existe des solutions logicielles permettant de se protéger contre les malwares, mais Emotet reste difficile à neutraliser. La meilleure des protections reste la vigilance.