Depuis sa première identification en 2014, différentes versions d’Emotet sont apparues. Emotet se propage principalement par des malspams (e-mails de spams) à partir d’un fichier JavaScript malveillant, mais emploie désormais d’autres moyens. En effet, il utilise dorénavant des documents qui prennent en charge les macros afin qu’ils récupèrent la charge utile du virus à partir de serveurs de contrôle et commande (C&C) exécutés par les cybercriminels.

Dans ce contexte, vous trouverez ci-dessous le commentaire de Laurent Rousseau, Solutions Architect Manager France, chez Infoblox, leader des services de réseau et de sécurité cloud-first :

Malgré un effort énorme de coordination internationale des forces de l’ordre (États-Unis, Pays-Bas, Royaume-Uni, France, Ukraine, Lituanie et Canada) qui ont éteint EMOTET en Janvier 2021, ce malware est réapparu après 11 mois d’inactivité, et Infoblox observe actuellement une augmentation significative des tentatives d’infection EMOTET via des campagnes de spams.

Le mode opératoire des attaquants a changé, anciennement l’infrastructure était détenue par les attaquants ce qui a permis aux forces de l’ordre de les identifier et de les arrêter. Désormais ils s’appuient sur des sites légitimes ce qui rend leur réseau et infrastructure beaucoup plus difficile à détecter et à stopper. Il est par ailleurs notable que la France fasse désormais partie des pays privilégiés pour l’hébergement des serveurs de Commande & Contrôle des botnets Emotet.

Emotet se diffuse principalement par mail, avec des fichiers attachés, en majorité au format Excel avec des Macros XML. Ces macros, même si Microsoft a recommandé leur désactivation début 2022, sont toujours une menace avérée, car beaucoup d’organisations ne mettent pas à jour régulièrement les applicatifs MS Office, et, car dans tous les cas l’utilisation de ces macros reste configurable par l’utilisateur.