En janvier dernier, une collaboration entre les services de police de toute une série de pays, dont les Pays-Bas, l'Allemagne et la France, avait paralysé le botnet Emotet. Les services de police avaient pris le contrôle du botnet via deux serveurs gérés au départ des Pays-Bas.

Après cette opération, la police allemande a remplacé des fragments du malware Emotet par sa propre version ayant notamment comme but d'empêcher de nouvelles infections et d'imposer aux appareils contaminés d'obéir au 'command and control server' de la police allemande.

Dans un second temps, une 'bombe à retardement' a aussi été installée. Un module a été déployé chez les appareils infectés, afin de détruire automatiquement le malware le week-end passé.

Intervention unique en son genre

Selon la firme de sécurité Malwarebytes, le module est parvenu à retirer des ordinateurs les services Windows et les clés d'enregistrement associés au malware, même si une désinstallation plus approfondie s'avère encore recommandée. Le processus en cours est cependant assez unique en son genre et devrait, on l'espère, mettre une fin définitive au botnet.

Le fait que cela ait pris quelques mois entre la prise de contrôle initiale des serveurs et la destruction complète du malware, serait du au temps qu'il a fallu pour collecter des preuves.

Emotet passe pour être l'un des plus dangereux botnets de ces dernières années. Il est actif depuis 2014 et est géré par le groupe TA542. Via des campagnes d'hameçonnage, il a infecté des milliers d'ordinateurs. Emotet ouvre en fait la porte permettant de prendre le contrôle d'un ordinateur avant d'y installer d'autres maliciels, tels des rançongiciels (ransomware).

En janvier dernier, une collaboration entre les services de police de toute une série de pays, dont les Pays-Bas, l'Allemagne et la France, avait paralysé le botnet Emotet. Les services de police avaient pris le contrôle du botnet via deux serveurs gérés au départ des Pays-Bas.Après cette opération, la police allemande a remplacé des fragments du malware Emotet par sa propre version ayant notamment comme but d'empêcher de nouvelles infections et d'imposer aux appareils contaminés d'obéir au 'command and control server' de la police allemande.Dans un second temps, une 'bombe à retardement' a aussi été installée. Un module a été déployé chez les appareils infectés, afin de détruire automatiquement le malware le week-end passé.Selon la firme de sécurité Malwarebytes, le module est parvenu à retirer des ordinateurs les services Windows et les clés d'enregistrement associés au malware, même si une désinstallation plus approfondie s'avère encore recommandée. Le processus en cours est cependant assez unique en son genre et devrait, on l'espère, mettre une fin définitive au botnet.Le fait que cela ait pris quelques mois entre la prise de contrôle initiale des serveurs et la destruction complète du malware, serait du au temps qu'il a fallu pour collecter des preuves.Emotet passe pour être l'un des plus dangereux botnets de ces dernières années. Il est actif depuis 2014 et est géré par le groupe TA542. Via des campagnes d'hameçonnage, il a infecté des milliers d'ordinateurs. Emotet ouvre en fait la porte permettant de prendre le contrôle d'un ordinateur avant d'y installer d'autres maliciels, tels des rançongiciels (ransomware).