Logiciel malveillant "Emotet" - BSI met en garde contre une nouvelle vague de phishing

Le 5 décembre 2018, l'Office fédéral de la sécurité des technologies de l'information (BSI) a publié un communiqué de presse mettant en garde contre le malware Emotet.

Le malware a été observé pour la première fois en 2014 en Allemagne et en Autriche.

Alors que le malware était à l'origine utilisé comme cheval de Troie pour espionner les données d'accès aux services bancaires en ligne, il a été fortement modifié et amélioré au cours des dernières années.

Le président du BSI, Arne Schönbohm, a fait savoir à ce sujet : "Nous estimons qu'Emotet est un cas de cybercriminalité dans lequel les méthodes des attaques APT hautement professionnelles ont été adaptées et automatisées. Dans le rapport de situation actuel du BSI, nous avons déjà parlé d'une nouvelle qualité de menace et Emotet nous le confirme. C'est pourquoi nous demandons aux entreprises et aux organisations de protéger leur infrastructure informatique et notamment leurs processus commerciaux critiques contre ce type de menace et de développer leurs mesures de sécurité informatique de manière appropriée. Une prévention appropriée permet de réduire considérablement le risque d'infection par Emotet".

Depuis septembre 2018, une nouvelle variante qui procède de manière extrêmement raffinée est en circulation. Elle commence par une attaque de phising tout à fait classique. Néanmoins, on observe ici une qualité très élevée. Dès qu'un appareil est infecté, Emotet utilise plusieurs méthodes pour se propager. Par exemple, Emotet lit les e-mails et les adresses enregistrés dans Outlook. C'est ce que l'on appelle à juste titre le moissonnage d'Outlook, au cours duquel Emotet recherche également les contacts avec lesquels il a récemment communiqué. Entre l'infection initiale et l'envoi des e-mails, il peut s'écouler des semaines pendant lesquelles Emotet observe et analyse la communication. Sur cette base, des e-mails de phishing ciblés sont ensuite générés et envoyés de manière automatisée. Cette méthode spéciale est appelée "spear phising". Au lieu de lancer un filet symbolique comme dans le phising traditionnel, les personnes sont attaquées de manière ciblée. Ces e-mails de phishing spéciaux sont d'une très grande qualité et peuvent difficilement être distingués des véritables e-mails.

Dans l'e-mail, il est demandé d'ouvrir un fichier Word qui se trouve en annexe. Ce faisant, il faut également exécuter les macros contenues dans le document. Si l'on suit cette invitation, on infecte son ordinateur de cette manière.

Ce n'est toutefois pas la seule méthode dont dispose Emotet. Si un ordinateur est infecté dans un réseau, Emotet l'utilise comme tête de pont. Si celle-ci est installée, Emotet charge des composants de logiciels malveillants et utilise également des failles de sécurité connues comme EternalBlue, Romance ou Mimikatz pour se propager de manière autonome dans le réseau. Même si Microsoft avait déjà mis à disposition un patch en mai 2017, alors que WannaCry faisait rage, toutes les entreprises ne l'ont apparemment pas encore appliqué. Cela peut aussi entraîner des pannes de réseaux entiers, comme par exemple à la clinique de Fürstenfeldbrück en Bavière, qui a été infectée début novembre. L'infection a entraîné une panne de l'ensemble de l'infrastructure informatique, ce qui a empêché l'hôpital de travailler normalement. Les patients ont dû être transférés dans des hôpitaux voisins et l'admission de nouveaux patients n'était plus possible qu'en cas d'urgence. En outre, tous les comptes bancaires de l'hôpital ont été bloqués afin de prévenir d'éventuels abus.

Comme le logiciel malveillant évolue constamment, il est difficile de le détecter avec des solutions de sécurité classiques. La prévention d'une infection passe notamment par une sensibilisation des collaborateurs. Mais une prévention active est également possible. Par exemple, en supprimant automatiquement et de manière proactive les éléments actifs des fichiers. C'est par exemple possible avec Fortinet Content Disarm and Reconstruct. Le document contenant le logiciel malveillant serait ainsi nettoyé des éléments actifs tels que les macros avant d'être envoyé. Le document serait ainsi désamorcé et inoffensif. Ainsi, même si un collaborateur recevait cet e-mail et ouvrait la pièce jointe, une infection ne serait plus possible.

Une autre possibilité est ce que l'on appelle le sandboxing. Dans ce cas, le document est téléchargé, exécuté, observé et analysé dans un environnement isolé. Si, après un certain temps, par exemple 15 minutes, aucun comportement suspect n'a été observé, le fichier est libéré. Fortinet et Sophos proposent tous deux des solutions de ce type.