De programme malveillant à plateforme pour les cybercriminels RAAS (ransomware-as-a-service), le programme malveillant Emotet pour ne pas le nommer, est devenu, avec son évolution, une plateforme de service pour les cybercriminels afin de déployer d’autres programmes malveillants. Même s’il est ébranlé aujourd’hui, il est l’instigateur du développement d’un savoir-faire, qui peut être lucratif et qui n’a pas fini d’être exploité dans de futures attaques.
Son évolution de cheval de Troie en 2014, à porte d’entrée pour les autres groupes criminels en 2017, a déjà fait et continue de faire des dommages.
Son vecteur d’infection principal est le courriel
- Dans une pièce jointe
- Dans un lien de téléchargement
- Dans l’activation des macros d’un fichier
D’autres vecteurs d’infection peuvent être des sites web compromis ou des messages texte.
Ce qu’il peut faire :
- Chiffrer les données (rendre illisibles)
- Compromettre la boite de courriels (contenu et contacts)
- Voler les données
- Récupérer les mots de passe (netpass.exe)
- Télécharger d’autres programmes malveillants
- Se diffuser dans le réseau local
- Se camoufler
- Changer sa signature qui permet la détection (polymorphe)
- Et autres évolutions
L’objectif du groupe criminel :
- Infecter votre réseau
- Vendre l’accès à d’autres groupes
Pour plus de détails concernant EMOTET Consultez CERTFR-2020-CTI-010.pdf (ssi.gouv.fr)
Pour mieux comprendre les cybercrimes et s’en protéger, consultez les infographies.
