Un bref aperçu d’Emotet

Egalement connu sous les noms de Geodo et Mealybug, Emotet est l’une des formes de malware les plus répandues. Identifié pour la première fois en 2014, ce virus était à l’origine conçu contre la communauté des services financiers, agissant comme un cheval de Troie qui tentait de voler les références des comptes bancaires ou des cartes de crédit des hôtes compromis. Les opérateurs d’Emotet ont ensuite étendu le cheval de Troie aux services de spamming et de diffusion de logiciels malveillants.

Emotet est l’une des souches de logiciels malveillants les plus coûteuses et les plus destructrices. Il peut échapper aux outils de détection basés sur les signatures et utilise des capacités de réplication de type vers (worm) pour se propager rapidement sur un réseau, faisant des ravages. Selon le Département de la Sécurité Intérieure des Etats-Unis, chaque infection par Emotet coûte aux gouvernements des États et aux collectivités locales des États-Unis jusqu’à un million de dollars à assainir.

Emotet fonctionne généralement en téléchargeant ou en injectant d’autres logiciels malveillants. Les infections Emotet ont généralement pour origine un courriel de phishing contenant une pièce jointe ou une URL d’apparence légitime. Lorsque la victime ouvre la pièce jointe ou clique sur le lien, elle exécute involontairement une macro qui télécharge la charge utile du virus à partir des serveurs de commande et de contrôle (CNC) exploités par les attaquants. Une fois téléchargé, Emotet s’installe sur l’ordinateur hôte et tente de se propager dans le réseau local.

Dès que les opérateurs d’Emotet s’ancrent dans un réseau, ils vendent souvent l’accès aux ordinateurs infectés à d’autres cybercriminels dans le cadre de programmes de type Malware-as-a-Service (MaaS) ou Cybercrime as a Service (CaaS). Les "clients" de MaaS/CaaS implantent ensuite d’autres logiciels malveillants tels que TrickBot, qui peut être utilisé pour voler des données confidentielles et diffuser le rançongiciel Ryuk, dans le cadre d’une attaque dite de "triple menace". L’ANSSI estime que le rançongiciel Ryuk a rapporté plus de 7 millions de dollars dans le monde à ses créateurs en 2018.

Capitaliser sur les craintes liées aux coronavirus

Les cybercriminels ont mené plusieurs campagnes Emotet sur le thème de la COVID-19 au cours des derniers mois, alors que la pandémie a touché le monde entier. Les opérateurs utilisent généralement des courriels de phishing, déguisés pour donner l’impression qu’ils proviennent de sources officielles.

Se défendre contre les attaques d’Emotet et autres logiciels malveillants

Voici quelques précautions de base que vous pouvez prendre pour renforcer la posture de sécurité de votre entreprise et chercher à la protéger contre les attaques d’Emotet et d’autres logiciels malveillants :

 ? Avertissez votre communauté d’utilisateurs : Eduquez votre communauté d’utilisateurs à propos des menaces liées à la sécurité informatique. Demandez aux utilisateurs de se méfier des escroqueries liées à la COVID-19 et des courriels provenant d’expéditeurs inconnus, en particulier les courriels contenant des pièces jointes ou des liens.

 ? Effectuez des audits de sécurité et des tests de pénétration : Réexaminez l’architecture, les systèmes et les pratiques de sécurité de votre entreprise. Effectuez des tests de pénétration pour simuler des attaques, identifier les lacunes et les vulnérabilités, et renforcer vos défenses. Chassez les menaces de manière proactive et recherchez les comportements suspects.

 ? Mettez à jour votre plan de préparation cybersécurité : Révisez votre plan de préparation à la sécurité. Assurez-vous que vous disposez de plans de continuité des opérations et de reprise après sinistre adéquats pour maintenir les systèmes critiques en état de marche en cas d’attaque. Tenez à jour votre assurance en matière de cybersécurité.

 ? Examinez votre stratégie de sauvegarde sous un angle nouveau : Les attaques de logiciels malveillants sophistiqués peuvent supprimer ou chiffrer les fichiers de sauvegarde, ce qui entrave les efforts de récupération. Introduisez une stratégie de sauvegarde multicouche utilisant le stockage dans le cloud, la sauvegarde hors ligne ou le stockage immuable pour protéger vos sauvegardes contre les attaques malveillantes.

 ? Empêchez les communications par Emotet et injecteur : Limitez les communications latérales inutiles. Segmentez et séparez les réseaux et fonctions physiques et virtuels dans l’entreprise.

 ? Désactivez les comptes d’administration locaux : Les attaquants peuvent utiliser des identifiants de compte privilégié compromis pour se déplacer latéralement sur votre réseau et voler des données ou infliger des dommages. Réduisez les risques en adhérant au principe du moindre privilège et en désactivant les comptes d’administrateur local.

 ? Déployez les dernières mises à jour et les derniers correctifs : Assurez-vous que tous les systèmes d’exploitation et les applications des points terminaux exécutent les dernières mises à jour logicielles et les derniers correctifs de sécurité.

 ? Mettre en place des outils d’analyse du contenu des courriers électroniques : Utilisez des filtres de contenu de courrier électronique notamment des protections de type “sandboxing”.

Les périodes de crise créent des opportunités pour les acteurs malveillants. Les attaques sur le thème de la COVID-19 peuvent faire des ravages dans une entreprise, à un moment où de nombreuses sociétés sont déjà en difficulté et donc vulnérables. Les responsables de la sécurité informatique doivent rester vigilants. En adoptant une approche proactive de la cybersécurité - en surveillant en permanence le paysage des menaces, en évaluant et en améliorant vos systèmes et pratiques de sécurité - vous pouvez garder une longueur d’avance sur les cybercriminels et protéger votre entreprise.