L’ANSSI réalise un mémo sur le malware as a service EMOTET

Emotet (alias Heodo), apparu en mars 2017, est la version 4 du code malveillant Geodo. L’origine de Geodo remonte au Business Club, groupe cybercriminel duquel ont notamment émergé Evil Corp (à l’origine de Dridex) et TA542 (à l’origine d’Emotet). Observé pour la première fois en 2014 en tant que cheval de Troie bancaire, Emotet a évolué à partir de 2015 pour devenir modulaire. Depuis 2017, Emotet distribue des codes malveillants opérés par des groupes d’attaquants clients de TA542 au sein des systèmes d’information qu’il infecte. Actuellement, parmi les codes distribués par Emotet se trouvent notamment TrickBot, QakBot et SilentNight. Les campagnes d’attaques actuelles ne semblent pas sectoriellement ciblées, bien qu’un ciblage géographique puisse parfois être identifié.

L’ANSSI a récemment écrit un mémo concernant les activités de “malware-as-a-service” d’Emotet, retraçant ses origines et son évolution sur les dernières années. 

La Cellule ACSS met à disposition des membres ce mémo au lien suivant : https://cyberveille-sante.gouv.fr/documents-prives/2164-memo-sur-le-malware-service-emotet-2020-10-30

Pour rappel, une liste d’adresses IP connues pour des liens avec Emotet est régulièrement mise à jour et est disponible au lien suivant : https://cyberveille-sante.gouv.fr/node/2044