Plusieurs trojan comblent le vide causé par le démantèlement d’Emotet
Les pirates ont fait face à un coup dur après le démantèlement de l’infrastructure du Trojan Emotet. Mais seulement quelques semaines après, d’autres chevaux de Troie et botnets ont réussi à combler le vide, comme le malware Trickbot. Plusieurs pirates informatiques se sont tournés vers ce dernier afin de diffuser des attaques de logiciels malveillants.
Emotet faisait partie des botnets de diffusion de malware les plus dangereux et inventifs à l’échelle mondiale, avant son démantèlement par une opération internationale des forces de l’ordre en Janvier 2021. Aujourd’hui, Trickbot est devenu la forme de malware la plus courante, d’après l’analyse des campagnes de malwares réalisée par les chercheurs en cyber sécurité de Check Point. Trickbot propose plusieurs fonctionnalités semblables à celles d’Emotet, les pirates informatiques peuvent à l’aide de Trickbot diffuser plus de logiciels malveillants sur les machines compromises. Apparu pour la première fois en 2016, Trickbot a fait partie des formes de logiciels malveillants les plus dangereux pendant longtemps.
« Les criminels continueront à utiliser les menaces et les outils existants dont ils disposent, et Trickbot est populaire en raison de sa polyvalence et de ses succès dans des attaques précédentes », explique Maya Horowitz, directrice du renseignement sur les menaces et de la recherche chez Check Point. « Comme nous le soupçonnions, même lorsqu'une menace majeure est éliminée, beaucoup d'autres continuent à poser un risque élevé sur les réseaux du monde entier. Les organisations doivent donc s'assurer qu'elles disposent de systèmes de sécurité robustes pour empêcher que leurs réseaux soient compromis et minimiser les risques. »
Mais, il faut aussi savoir que Trickbot n’est pas l’unique logiciel malveillant dangereux pour les organisations, car d’autres groupes de pirates participent eux aussi à combler le vide engendré par le démantèlement d’Emotet. XMRig, une forme open source de cryptomineur, est devenu la seconde famille de logiciels malveillants la plus répandue. Un cheval de Troie bancaire appelé Qbot a pris la troisième place de la scène des malwares les plus diffusés en mois de Février. Il est fabriqué pour voler les noms d’utilisateur ainsi que les mots de passe des comptes bancaires grâce à l’enregistrement secret des frappes de clavier réalisés par un utilisateur. Il utilise de nombreuses techniques d’anti-debug et anti-sandbox afin d’échapper à la détection. Qbot se distribue couramment via des e-mails de phishing, tout comme Tickbot.
Plusieurs autres chevaux de Troie bancaires et réseaux botnets se sont répandus après le démantèlement d’Emotet, nous citons par exemple : Formbook, Glupteba et Ramnit. Afin de protéger leurs réseaux contre les menaces en rapport avec ces malwares, les sociétés sont amenées à veiller à l’application des derniers correctifs de sécurité dès que possible après leur publication.