16/12/2024

Actu Cybersécurité

Le malware Emotet va s’auto-détruire des machines infectées

Suite au démantèlement du malware Emotet par l'agence Europol, le malware Emotet va s'auto-détruire des machines infectées, et cela à l'échelle mondiale.

En janvier dernier, l'agence Europol annonçait le démantèlement du malware Emotet : ce botnet était à l'origine de nombreuses attaques depuis 6 ans. Les forces de l'ordre de huit pays s'étaient mobilisées pour venir à bout d'Emotet ! La France a participé à cette action, ainsi que les États-Unis, l'Allemagne, le Canada, le Royaume-Uni, la Lituanie, les Pays-Bas et l'Ukraine. Grâce à cette intervention, les autorités avaient pris le contrôle de l'infrastructure d'Emotet.

Désormais, il va s'auto-détruire des machines sur lesquelles il est en place grâce à un module de désinstallation déployé en janvier dernier par les autorités. Concrètement, toutes les machines infectées ont une version modifiée du fichier EmotetLoader.dll et l'objectif est que le malware se désinstalle automatiquement à partir du 25 avril 2021.

Deux chercheurs en sécurité de chez Malwarebytes, Jérôme Segura et Hasherezade, ont pu analyser le module de désinstallation déployé par les autorités. Il s'avère qu'il va supprimer plusieurs éléments liés à Emotet directement : les services Windows associés et les clés de Registre, puis le processus se termine.

La Bundeskriminalamt, c'est-à-dire l'Office fédéral de police criminelle d'Allemagne, est à l'origine de la création et du déploiement de cet outil de désinstallation pour Emotet. Pour le déploiement, les autorités se sont appuyées sur l'infrastructure de serveurs Command & Control utilisée par Emotet. Ensuite, les communications se sont faites vers une autre infrastructure montée par les autorités elles-mêmes dans le but de centraliser la collecte des preuves sur une infrastructure indépendante.

Il est important de confirmer que ce module déployé sur les machines infectées n'empêche pas l'installation de malwares additionnels et indépendants d'Emotet. En tout cas, il permet à la machine d'être libérée du botnet Emotet : la machine ne pourra plus être contrôlée par cet intermédiaire.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.