Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bulletin CERT-FR/ANSSI : Forte résurgence du trojan Emotet : commentaires des experts de Bitdefender et Vectra

septembre 2020 par Experts

Le CERT-FR vient de publier un bulletin d’alerte concernant la résurgence de l’activité du Trojan Emotet en France : https://www.cert.ssi.gouv.fr/alerte...

Connu depuis 2014, Emotet n’a cessé d’évoluer et il est de retour en France, se répandant par des campagnes d’emails malveillants de type thread hijacking/replay Chain attack (des emails malveillants répondant à d’anciennes conversations, vraies ou fausses, pour mieux tromper leur victime).

La menace est donc prise très au sérieux par l’ANSSI. Plusieurs experts vous proposent leur commentaire :

Liviu Arsène, Analyse en cybersécurité internationale chez Bitdefender rappelle tout d’abord ce qu’est Emotet, le mode opératoire et l’évolution continue des méthodes utilisées par Emotet ainsi que les bonnes pratiques pour s’en protéger :

Les opérateurs du Trojan Emotet sont connus pour travailler avec d’autres groupes cybercriminels en leur louant l’accès à leur réseau de Botnet et en distribuant d’autres types de logiciels malveillants, tels que le logiciel de rançon Ryuk. Par conséquent, Emotet est fréquemment utilisé comme première étape de la diffusion de logiciels dans les machines et ses caractéristiques de type Ver l’aident à se propager sur l’ensemble du réseau une fois qu’une victime a été infectée, ce qui en fait une menace difficile à contenir et à supprimer. Emotet est ensuite utilisé pour déployer d’autres logiciels malveillants ou des outils utilisés par les cybercriminels pour exfiltrer des données financières ou autres données sensibles.

Emotet est aujourd’hui l’un des acteurs majeurs dans l’écosystème de la cybercriminalité, il est actuellement considéré comme l’un des plus dangereux réseaux de botnet du monde. Les campagnes d’infection par Emotet qui ciblent actuellement la France ne sont pas nouvelles, mais elles font constamment appel à de nouvelles techniques pour convaincre les victimes d’ouvrir des pièces jointes contaminées. Du détournement de fils de discussion emails (Thread hijacking) que nous avons observée en France la semaine dernière, à des sujets opportunistes comme le Coronavirus, les opérateurs d’Emotet ont utilisé un large éventail de messages pour inciter les victimes à infecter leurs systèmes.

La télémétrie de Bitdefender montre que le botnet Emotet a été particulièrement actif pendant la pandémie, les mois de mars et avril 2020 ayant été deux mois consécutifs où les rapports ont atteint 19,73 % du nombre total de rapports Emotet au cours du premier semestre 2020.

Pour éviter l’infection, il est recommandé aux utilisateurs de ne pas ouvrir les pièces jointes d’emails non sollicités, de disposer d’une solution de sécurité capable de détecter les pièces jointes et les URL malveillantes, et de tenir leur système d’exploitation et leurs applications constamment à jour avec les derniers correctifs de sécurité.

Matt Walmsley, expert cybersécurité / Directeur Europe, de Vectra ajoute :

Depuis 2014, Emotet s’est constamment adapté. Le trojan a utilisé une première fois le détournement d’emails en français au Canada et il semble maintenant tenter de tirer parti de cette campagne initiale, directement en France. La publication de signatures et de règles permettant d’identifier les souches actuelles d’Emotet est une mesure évidemment importante de la part des organismes gouvernementaux tels que l’ANSSI, mais la transformation constante d’Emotet signifie que malheureusement cette approche a une durée de vie très limitée. Chercher à identifier et à comprendre qui sont les opérateurs d’Emotet ainsi que leurs motivations fait partie du puzzle et c’est le rôle des forces de l’ordre. Mais le plus utile et le plus durable pour la sécurité reste de comprendre les tactiques et les techniques qu’ils utilisent et d’anticiper la manière dont elles pourraient être atténuées pour protéger les cibles du Trojan.

Dans le cas d’Emotet, il s’agirait notamment de détecter l’utilisation abusive de comptes à privilèges, les mouvements latéraux sur le réseau local (pour les PME par exemple) et les comportements signalant la présence d’outils de commande et de contrôle (C&C). Les équipes de sécurité doivent être de plus en plus agiles, car le temps est leur ressource la plus précieuse pour faire face aux attaques de logiciels malveillants. Une détection et une réponse précoces sont essentielles pour reprendre le contrôle et arrêter les attaquants avant qu’ils ne puissent se propager dans l’organisation, et qu’ils volent ou empêchent l’accès aux données.




Voir les articles précédents

    

Voir les articles suivants