En janvier 2021, une opération internationale, menée par Europol et Eurojust, aboutissait au démantèlement du botnet Emotet, considéré à l’époque comme « le plus dangereux du monde », après une saisie physique de ses serveurs.
Mais, ce 16 novembre 2021, le groupe d’experts en sécurité Cryptolaemus a annoncé avoir identifié une version du malware Emotet, dans des machines préalablement infectées par TrickBot, un logiciel malveillant similaire. Le malware serait également présent dans plusieurs campagnes de spams piégés, visant à infecter des ordinateurs pour récupérer des mots de passe.
Cryptolaemus estime que les opérateurs d’Emotet veulent reconstruire un réseau d’appareils capables de lancer de nouvelles offensives à grande échelle, tant sur le phishing que sur les attaques DDoS.
Le groupe Cryptolaemus a été constitué en 2018, spécifiquement pour lutter contre Emotet. Composé d’une vingtaine de membres opérant à visage découvert, soutenus par des chercheurs souhaitant conserver l’anonymat, ils publiaient régulièrement des informations sur le botnet, notamment les adresses IP de ses serveurs de commande, les sujets utilisés dans ses campagnes de spam, et les hash des fichiers infectés par Emotet.
Le démantèlement du réseau criminel n’a pas mis fin à cette alliance de chercheurs en cybersécurité et d’administrateurs système. Ils sont désormais déterminés à partager toutes les informations nécessaires à éviter une résurgence de cette menace.