Actualités

Emotet : vers une réminiscence du botnet ? (le retour…)

En début d’année 2021, les autorités européennes, allemandes et américaines criaient victoire en annonçant fièrement le démantèlement ainsi que la mise à l’arrêt de l’ensemble des services d’Emotet, un botnet qui sévissait, au moins, depuis 2014, sous la forme de multiples cyber-attaques bien spécifiques – en passant par le phishing voire spear-phishing –  avec des déploiements progressifs de malwares dont Trickbot pour, en bout de chaîne, verrouiller les données d’un système, entre-autres, via le ransomware Ryuk. Malheureusement, il semble qu’Emotet, à l’image d’une hydre, possède des ressources qui lui ont permis de croître ou survivre pour mieux renaître…

 

 

Le dimanche 14 novembre, vers 22h26 (ndlr : heure française), nous avons observé sur plusieurs de nos trackers Trickbot que le bot tentait de télécharger une DLL sur le système. Selon le traitement interne, ces DLL ont été identifiées comme Emotet. Cependant, depuis que le botnet a été supprimé plus tôt cette année, nous étions méfiants quant aux résultats et avons effectué une première vérification manuelle […] Actuellement, nous sommes convaincus que les échantillons semblent en effet être une réincarnation du tristement célèbre Emotet“, selon un communiqué relayé par les chercheurs GData, Vitali Kremez (Intel Advanced) et Cryptolaemus, sur Twitter, le 15 Novembre 2021.

 

Tracker FEODO, au 17 Novembre 2021,
concernant les serveurs Command-and-Control du botnet Emotet.

 

Représailles obligent, les cyber-attaquants ont fait quelques ajustements : de ceux qui ont été observés ou publiquement évoqués, le chiffrement et le mode de connexion (HTTPS – certificat auto-signé) ont été adaptés.

 

Pour l’heure, les trackers et premiers indices sont étudiés avec attention par les chercheurs qui attendent de voir quels virages insécuritaires ou finalités prendra Emotet et sa boîte à outils… A veiller !

 

 

Source : Cyber WTF – 15 Novembre 2021 – Emotet : vers un retour possible, au détour d’analyse démontrant la présence de Trickbot (indicateurs de compromissions).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5