Emotet

Emotet est un type de malware initialement conçu comme un cheval de Troie bancaire destiné à voler des données financières, mais il a évolué pour devenir une menace majeure pour les utilisateurs partout dans le monde.

TÉLÉCHARGEZ MALWAREBYTES GRATUITEMENT

Également pour Windows, iOS, Android, Chromebook et pour les entreprises

Parlons du malware Emotet

Vous avez peut-être entendu parler d'Emotet dans les actualités. Qu'est-ce que c'est : un ancien roi égyptien, le groupe emo préféré de votre petite sœur ? Malheureusement, non.

Le cheval de Troie bancaire Emotet a été identifié pour la première fois par des chercheurs en sécurité en 2014. Emotet a été conçu à l'origine comme un logiciel malveillant bancaire qui tentait de s'infiltrer dans votre ordinateur et de voler des informations sensibles et privées. Les versions ultérieures du logiciel ont vu l'ajout de services de spamming et de livraison de logiciels malveillants, y compris d'autres chevaux de Troie bancaires.

Emotet utilise des fonctionnalités qui aident le logiciel à échapper à la détection par certains produits anti-malware. Emotet utilise des capacités de type ver pour se propager à d'autres ordinateurs connectés. Cela contribue à la distribution du malware. Cette fonctionnalité a conduit le Département de la Sécurité intérieure à conclure qu'Emotet est l'un des malwares les plus coûteux et destructeurs, affectant les secteurs gouvernementaux et privés, des individus et des organisations, coûtant plus d'un million de dollars par incident à nettoyer.

Produits de cybersécurité Emotet

Pour les entreprises

Malwarebytes Endpoint Detection and Response (Détection et réponse aux points d'accès)
Malwarebytes Endpoint Protection

Qu'est-ce qu'Emotet ?

Emotet est un cheval de Troie qui se propage principalement par le biais de courriers électroniques non sollicités (malspam). L'infection peut arriver par l'intermédiaire d'un script malveillant, de fichiers document activés par des macros ou d'un lien malveillant. Les courriels d'Emotet peuvent contenir des marques familières conçues pour ressembler à des courriels légitimes. Emotet peut tenter de persuader les utilisateurs de cliquer sur les fichiers malveillants en utilisant un langage séduisant à propos de "Votre facture", des "Détails de paiement" ou peut-être d'un prochain envoi de la part de sociétés de transport de colis bien connues.

Emotet a connu plusieurs itérations. Les premières versions se présentaient sous la forme d'un fichier JavaScript malveillant. Les versions ultérieures ont évolué vers l'utilisation de documents dotés de macros pour récupérer la charge utile du virus à partir de serveurs de commande et de contrôle (C&C) gérés par les attaquants.

Emotet utilise plusieurs astuces pour essayer d'éviter la détection et l'analyse. Notamment, Emotet sait s'il s'exécute à l'intérieur d'une machine virtuelle (VM) et restera inactif s'il détecte un environnement sandbox, qui est un outil utilisé par les chercheurs en cybersécurité pour observer les malwares dans un espace sûr et contrôlé.

Emotet utilise également des serveurs C&C pour recevoir des mises à jour. Cela fonctionne de la même manière que les mises à jour du système d'exploitation sur votre PC et peut se passer de manière transparente et sans aucun signe extérieur. Cela permet aux attaquants d'installer des versions mises à jour du logiciel, d'installer des malwares supplémentaires tels que d'autres chevaux de Troie bancaires, ou de servir de dépôt pour les informations volées comme les identifiants financiers, les noms d'utilisateur et mots de passe, et les adresses e-mail.

Actualités Emotet

ℹ️ Emotet est maintenant distribué directement via des documents malspam. pic.twitter.com/pqYwSdIm82
— ThreatDown (@Threat_Down) novembre 16, 2021

Comment Emotet se propage-t-il ?

La méthode principale de distribution d'Emotet est par malspam. Emotet pille votre liste de contacts et s'envoie à vos amis, famille, collègues et clients. Comme ces e-mails proviennent de votre compte e-mail piraté, les e-mails ressemblent moins à des spams et les destinataires, se sentant en sécurité, sont plus enclins à cliquer sur les mauvaises URL et à télécharger des fichiers infectés.

Si un réseau connecté est présent, Emotet se propage en utilisant une liste de mots de passe courants, devinant son chemin vers d'autres systèmes connectés dans une attaque par force brute. Si le mot de passe du serveur de ressources humaines crucial est simplement "mot de passe", alors Emotet est susceptible de s'y frayer un chemin.

Les chercheurs ont d'abord pensé qu'Emotet se propageait également à l'aide des vulnérabilités EternalBlue/DoublePulsar, responsables des attaques WannaCry et NotPetya. Nous savons maintenant que ce n'est pas le cas. Ce qui a conduit les chercheurs à cette conclusion, c'est le fait que TrickBot, un cheval de Troie souvent diffusé par Emotet, utilise l'exploit EternalBlue pour se propager dans un réseau donné. C'est TrickBot, et non Emotet, qui profite des vulnérabilités EternalBlue/DoublePulsar.

Quel est l'historique d'Emotet ?

Identifié pour la première fois en 2014, Emotet continue d'infecter les systèmes et de nuire aux utilisateurs jusqu'à ce jour, c'est pourquoi nous en parlons encore, contrairement à d'autres tendances de 2014 (Ice Bucket Challenge, ça vous dit quelque chose ?).

La première version d'Emotet était conçue pour voler des détails de comptes bancaires en interceptant le trafic Internet. Peu de temps après, une nouvelle version du logiciel a été détectée. Cette version, surnommée Emotet version deux, était accompagnée de plusieurs modules, y compris un système de transfert d'argent, un module malspam, et un module bancaire ciblant les banques allemandes et autrichiennes.

« Les versions actuelles du cheval de Troie Emotet incluent la capacité d'installer d'autres logiciels malveillants sur les machines infectées. Ces logiciels malveillants peuvent inclure d'autres chevaux de Troie bancaires ou des services de livraison de malspam. »

En janvier 2015, une nouvelle version d'Emotet est apparue. La version trois contenait des modifications furtives destinées à garder le malware sous le radar et ajoutait de nouvelles cibles bancaires suisses.

En 2018, les nouvelles versions du cheval de Troie Emotet permettent d'installer d'autres logiciels malveillants sur les machines infectées. Ces logiciels malveillants peuvent inclure d'autres chevaux de Troie et des ransomwares. En juillet 2019, une attaque d'Emotet sur Lake City, en Floride, a coûté à la ville 460 000 dollars en paiements de ransomwares, selon Gizmodo. Une analyse de l'attaque a révélé qu'Emotet ne servait que de vecteur d'infection initial. Une fois infecté, Emotet a téléchargé un autre cheval de Troie bancaire connu sous le nom de TrickBot et le ransomware Ryuk.

Après avoir été relativement calme pendant la majeure partie de 2019, Emotet est revenu en force. En septembre 2019, Malwarebytes Labs a rapporté une campagne de spam pilotée par un botnet ciblant des victimes allemandes, polonaises, italiennes et anglaises avec des lignes d'objet habilement formulées comme « Conseils de règlement de paiement » et « Facture en retard ». Ouvrir le document Microsoft Word infecté déclenche une macro qui, à son tour, télécharge Emotet à partir de sites WordPress compromis.

Qui Emotet cible-t-il ?

Tout le monde est une cible pour Emotet. À ce jour, Emotet a touché des particuliers, des entreprises et des entités gouvernementales aux États-Unis et en Europe, dérobant des identifiants bancaires, des données financières et même des portefeuilles Bitcoin.

Une attaque notable d'Emotet sur la ville d'Allentown, PA, a nécessité l'aide directe de l'équipe de réponse aux incidents de Microsoft pour le nettoyage et a coûté à la ville plus d'un million de dollars, selon les rapports.

Maintenant qu'Emotet est utilisé pour télécharger et livrer d'autres chevaux de Troie bancaires, la liste des cibles est potentiellement encore plus large. Les premières versions d'Emotet ont été utilisées pour attaquer les clients bancaires en Allemagne. Les versions ultérieures d'Emotet ont ciblé des organisations au Canada, au Royaume-Uni et aux États-Unis.

« Une attaque notable d'Emotet sur la ville d'Allentown, PA, a nécessité l'aide directe de l'équipe de réponse aux incidents de Microsoft pour le nettoyage et a coûté à la ville plus d'un million de dollars, selon les rapports. »

Comment puis-je me protéger contre Emotet ?

Vous êtes déjà en train de prendre la première étape pour vous protéger, vous et vos utilisateurs, contre Emotet en apprenant comment fonctionne Emotet. Voici quelques étapes supplémentaires que vous pouvez suivre :

Gardez votre ordinateur/endpoints à jour avec les derniers correctifs pour Microsoft Windows. TrickBot est souvent livré comme une charge secondaire d'Emotet, et nous savons que TrickBot repose sur la vulnérabilité Windows EternalBlue pour faire ses méfaits, alors corrigez cette vulnérabilité avant que les cybercriminels ne puissent en tirer avantage.
Ne téléchargez pas de pièces jointes suspectes et ne cliquez pas sur des liens douteux. Emotet ne peut pas s'implanter initialement sur votre système ou votre réseau si vous évitez ces e-mails suspects. Prenez le temps de sensibiliser vos utilisateurs sur comment repérer le malspam.
Informez-vous et vos utilisateurs sur la création d'un mot de passe fort. Pendant que vous y êtes, commencez à utiliser l'authentification à deux facteurs.
Vous pouvez vous protéger, vous et vos utilisateurs, contre Emotet avec un programme de cybersécurité robuste qui inclut une protection multicouche. Les produits d'entreprise et premium pour les consommateurs de Malwarebytes détectent et bloquent Emotet en temps réel.

Comment puis-je supprimer Emotet ?

Si vous pensez déjà être infecté par Emotet, ne paniquez pas. Si votre ordinateur est connecté à un réseau, isolez-le immédiatement. Une fois isolé, passez à la correction et au nettoyage du système infecté. Mais vous n'avez pas encore fini. En raison de la façon dont Emotet se propage à travers votre réseau, un ordinateur propre peut être réinfecté lorsqu'il est reconnecté à un réseau infecté. Nettoyez chaque ordinateur de votre réseau un par un. C'est un processus fastidieux, mais les solutions d'affaires de Malwarebytes peuvent le faciliter en isolant et en remédiant les points de terminaison infectés et en offrant une protection proactive contre les futures infections par Emotet.

Si savoir c'est déjà la moitié du combat, rendez-vous sur le Malwarebytes Labs où vous pouvez en apprendre davantage sur comment Emotet évite la détection et comment fonctionne le code d'Emotet.