Parlons du malware Emotet
Vous avez peut-être entendu parler d'Emotet dans les actualités. Qu'est-ce que c'est : un ancien roi égyptien, le groupe emo préféré de votre petite sœur ? Malheureusement, non.
Le cheval de Troie bancaire Emotet a été identifié pour la première fois par des chercheurs en sécurité en 2014. Emotet était à l'origine conçu comme un malware bancaire qui tentait de s'infiltrer sur votre ordinateur pour voler des informations sensibles et privées. Les versions ultérieures ont intégré des services de spamming et de livraison de malwares, y compris d'autres chevaux de Troie bancaires.
Emotet utilise des fonctionnalités qui aident le logiciel à échapper à la détection par certains produits anti-malware. Emotet utilise des capacités de type ver pour se propager à d'autres ordinateurs connectés. Cela contribue à la distribution du malware. Cette fonctionnalité a conduit le Département de la Sécurité intérieure à conclure qu'Emotet est l'un des malwares les plus coûteux et destructeurs, affectant les secteurs gouvernementaux et privés, des individus et des organisations, coûtant plus d'un million de dollars par incident à nettoyer.
Produits de cybersécurité Emotet
Pour les entreprises
Détection et réponse aux endpoints Malwarebytes
Protection des endpoints Malwarebytes
Réponse aux incidents Malwarebytes
Qu'est-ce qu'Emotet ?
Emotet est un cheval de Troie qui se propage principalement par le biais de courriels indésirables (malspam). L'infection peut arriver via un script malveillant, des fichiers de documents activés par macros ou des liens malveillants. Les courriels Emotet peuvent contenir des marques familières conçues pour ressembler à un courriel légitime. Emotet peut essayer de convaincre les utilisateurs de cliquer sur les fichiers malveillants en utilisant un langage tentant comme « Votre Facture », « Détails de Paiement », ou peut-être une expédition prochaine provenant de compagnies de colis bien connues.
Emotet a traversé plusieurs itérations. Les premières versions arrivaient sous forme de fichier JavaScript malveillant. Les versions ultérieures ont évolué pour utiliser des documents activés par macro pour récupérer la charge virale à partir des serveurs de commande et de contrôle (C&C) gérés par les attaquants.
Emotet utilise plusieurs astuces pour essayer d'éviter la détection et l'analyse. Notamment, Emotet sait s'il s'exécute à l'intérieur d'une machine virtuelle (VM) et restera inactif s'il détecte un environnement sandbox, qui est un outil utilisé par les chercheurs en cybersécurité pour observer les malwares dans un espace sûr et contrôlé.
Emotet utilise également des serveurs C&C pour recevoir des mises à jour. Cela fonctionne de la même manière que les mises à jour du système d'exploitation sur votre PC et peut se passer de manière transparente et sans aucun signe extérieur. Cela permet aux attaquants d'installer des versions mises à jour du logiciel, d'installer des malwares supplémentaires tels que d'autres chevaux de Troie bancaires, ou de servir de dépôt pour les informations volées comme les identifiants financiers, les noms d'utilisateur et mots de passe, et les adresses e-mail.
Actualités Emotet
- Emotet est de retour et il ne perd pas de temps
- Emotet se propage par le biais de packages d'installation d'applications Windows malveillants
- TrickBot aide Emotet à revenir d'entre les morts
- Nettoyage après Emotet : le dossier des forces de l'ordre
- Analyse de malware : décodage d'Emotet, partie 2
- Analyse de malware : décodage d'Emotet, partie 1
Comment Emotet se propage-t-il ?
La méthode principale de distribution d'Emotet est par malspam. Emotet pille votre liste de contacts et s'envoie à vos amis, famille, collègues et clients. Comme ces e-mails proviennent de votre compte e-mail piraté, les e-mails ressemblent moins à des spams et les destinataires, se sentant en sécurité, sont plus enclins à cliquer sur les mauvaises URL et à télécharger des fichiers infectés.
Si un réseau connecté est présent, Emotet se propage en utilisant une liste de mots de passe courants, devinant son chemin vers d'autres systèmes connectés dans une attaque par force brute. Si le mot de passe du serveur de ressources humaines crucial est simplement "mot de passe", alors Emotet est susceptible de s'y frayer un chemin.
Les chercheurs pensaient initialement qu'Emotet se propageait également en utilisant les vulnérabilités EternalBlue/DoublePulsar, qui étaient responsables des attaques WannaCry et NotPetya. Nous savons maintenant que ce n'est pas le cas. Ce qui a conduit les chercheurs à cette conclusion était le fait que TrickBot, un cheval de Troie souvent propagé par Emotet, utilise l'exploitation EternalBlue pour se propager à travers un réseau donné. C'était TrickBot, et non Emotet, qui profitait des vulnérabilités EternalBlue/DoublePulsar.
Quelle est l'histoire d'Emotet ?
Identifié pour la première fois en 2014, Emotet continue d'infecter les systèmes et de nuire aux utilisateurs jusqu'à ce jour, c'est pourquoi nous en parlons encore, contrairement à d'autres tendances de 2014 (Ice Bucket Challenge, ça vous dit quelque chose ?).
La première version d'Emotet était conçue pour voler des détails de comptes bancaires en interceptant le trafic Internet. Peu de temps après, une nouvelle version du logiciel a été détectée. Cette version, surnommée Emotet version deux, était accompagnée de plusieurs modules, y compris un système de transfert d'argent, un module malspam, et un module bancaire ciblant les banques allemandes et autrichiennes.
« Les versions actuelles du cheval de Troie Emotet incluent la capacité d'installer d'autres logiciels malveillants sur les machines infectées. Ces logiciels malveillants peuvent inclure d'autres chevaux de Troie bancaires ou des services de livraison de malspam. »
En janvier 2015, une nouvelle version d'Emotet est apparue. La version trois contenait des modifications furtives destinées à garder le malware sous le radar et ajoutait de nouvelles cibles bancaires suisses.
Avance rapide jusqu'en 2018 : les nouvelles versions du cheval de Troie Emotet incluent la capacité d'installer d'autres logiciels malveillants sur les machines infectées. Ceux-ci peuvent comprendre d'autres chevaux de Troie et ransomwares. Pour preuve, une attaque d'Emotet en juillet 2019 sur Lake City, en Floride, a coûté à la ville 460 000 $ en paiements de ransomware, selon Gizmodo. Une analyse de l'attaque a révélé qu'Emotet ne servait que de vecteur d'infection initial. Une fois infecté, Emotet téléchargeait un autre cheval de Troie bancaire connu sous le nom de TrickBot et le ransomware Ryuk.
Après avoir été relativement calme pendant la majeure partie de 2019, Emotet est revenu en force. En septembre 2019, Malwarebytes Labs a rapporté une campagne de spam pilotée par un botnet ciblant des victimes allemandes, polonaises, italiennes et anglaises avec des lignes d'objet habilement formulées comme « Conseils de règlement de paiement » et « Facture en retard ». Ouvrir le document Microsoft Word infecté déclenche une macro qui, à son tour, télécharge Emotet à partir de sites WordPress compromis.
Qui Emotet cible-t-il ?
Tout le monde est une cible pour Emotet. À ce jour, Emotet a frappé des particuliers, des entreprises et des entités gouvernementales à travers les États-Unis et l'Europe, volant des identifiants bancaires, des données financières et même des portefeuilles Bitcoin.
Une attaque notable d'Emotet sur la ville d'Allentown, PA, a nécessité l'aide directe de l'équipe de réponse aux incidents de Microsoft pour le nettoyage et a coûté à la ville plus d'un million de dollars, selon les rapports.
Maintenant qu'Emotet est utilisé pour télécharger et livrer d'autres chevaux de Troie bancaires, la liste des cibles est potentiellement encore plus large. Les premières versions d'Emotet ont été utilisées pour attaquer les clients bancaires en Allemagne. Les versions ultérieures d'Emotet ont ciblé des organisations au Canada, au Royaume-Uni et aux États-Unis.
« Une attaque notable d'Emotet sur la ville d'Allentown, PA, a nécessité l'aide directe de l'équipe de réponse aux incidents de Microsoft pour le nettoyage et a coûté à la ville plus d'un million de dollars, selon les rapports. »
Comment puis-je me protéger contre Emotet ?
Vous êtes déjà en train de prendre la première étape pour vous protéger, vous et vos utilisateurs, contre Emotet en apprenant comment fonctionne Emotet. Voici quelques étapes supplémentaires que vous pouvez suivre :
- Gardez votre ordinateur/endpoints à jour avec les derniers correctifs pour Microsoft Windows. TrickBot est souvent livré comme une charge secondaire d'Emotet, et nous savons que TrickBot repose sur la vulnérabilité Windows EternalBlue pour faire ses méfaits, alors corrigez cette vulnérabilité avant que les cybercriminels ne puissent en tirer avantage.
- Ne téléchargez pas de pièces jointes suspectes et ne cliquez pas sur des liens douteux. Emotet ne peut pas s'implanter initialement sur votre système ou votre réseau si vous évitez ces e-mails suspects. Prenez le temps de sensibiliser vos utilisateurs sur comment repérer le malspam.
- Informez-vous et vos utilisateurs sur la création d'un mot de passe fort. Pendant que vous y êtes, commencez à utiliser l'authentification à deux facteurs.
- Vous pouvez vous protéger, vous et vos utilisateurs, contre Emotet avec un programme de cybersécurité robuste qui inclut une protection multicouche. Les produits d'entreprise et premium pour les consommateurs de Malwarebytes détectent et bloquent Emotet en temps réel.
Comment puis-je supprimer Emotet ?
Si vous pensez déjà être infecté par Emotet, ne paniquez pas. Si votre ordinateur est connecté à un réseau, isolez-le immédiatement. Une fois isolé, passez à la correction et au nettoyage du système infecté. Mais vous n'avez pas encore fini. En raison de la façon dont Emotet se propage à travers votre réseau, un ordinateur propre peut être réinfecté lorsqu'il est reconnecté à un réseau infecté. Nettoyez chaque ordinateur de votre réseau un par un. C'est un processus fastidieux, mais les solutions d'affaires de Malwarebytes peuvent le faciliter en isolant et en remédiant les points de terminaison infectés et en offrant une protection proactive contre les futures infections par Emotet.
Si savoir c'est déjà la moitié du combat, rendez-vous sur le Malwarebytes Labs où vous pouvez en apprendre davantage sur comment Emotet évite la détection et comment fonctionne le code d'Emotet.