Sélectionner une page

Emotet, un véritable cauchemar

Ça va être un de ces jours. Votre directeur des TI ou RSSI semble inquiet et vous avez l’estomac qui brûle en écoutant son sommaire de la situation. Vous êtes perdu dans les détails techniques: « Emotet », « Mealybug » et un groupe infâme appelé « le groupe Ryuk ». Vous lui posez alors la question : « Qu’est-ce qu’on peut faire? ». Vous traduisez sa réponse et cette dernière se résume à des pertes de revenus et de productivité… et une conversation désagréable avec votre patron et les actionnaires.

Si votre organisation est connectée à l’Internet de n’importe quelle façon, vous êtes vulnérables à un logiciel malicieux (maliciel) nommé « Emotet ». Ce maliciel est apparu pour la première fois en 2014 et est le produit d’un groupe de pirates informatiques dénommé « Mealybug ». Emotet se cache dans des pourriels qui prennent l’apparence de compagnies reconnues comme PayPal ou DHL. Si un utilisateur ouvre le courriel et le document Word ou Excel attaché (souvent nommé « Facture » ou « Reçu ») et si le système possède une connexion Internet active, une macro intégrée télécharge du code additionnel qui récolte le carnet d’adresses de la machine et envoie un nouveau lot de pourriels à tous les contacts trouvés, propageant l’infection d’avantage.

Mais tout cela est seulement la première génération d’Emotet créé par Mealybug. Après sept ans, le groupe Mealybug est maintenant une opération criminelle à service complet, fournissant leur programme malicieux en tant que service (MaaS) à d’autres organisations criminelles. Ces dernières incluent le groupe Ryuk, renommé pour leurs attaques rançongiciels contre les gouvernements et les compagnies dans les secteurs de l’éducation, de la santé, de la manufacture et de la technologie.

À partir de 2017, Emotet était aussi utilisé pour distribuer le cheval de Troie « Trickbot » qui ciblait les compagnies bancaires américaines avec des courriels d’hameçonnage. Ces courriels, qui contenaient un lien DropBox, incitant les utilisateurs à télécharger un « document sécure » cachant un maliciel arbitraire.

Combien ces attaques ont-elles réellement coûtées? Selon l’avis de sécurité envoyée en juillet 2018 par le département de la sécurité intérieure des États-Unis, les infections Emotet auprès des organisations gouvernementales auraient coûté jusqu’à un million de dollars à régler par incident.

Vos informaticiens vous ont assuré que vos programmes antivirus étaient pleinement mis à jour. Comment ce maliciel a-t-il évité la détection?

Emotet est construit de code polymorphe. Il se modifie lui-même pendant le processus d’installation sur un système tel qu’aucune version n’est identique à une autre et chaque installation parait unique à l’inspection. Les antivirus basés sur la détection de signatures tentent de détecter des blocs de codes spécifiques pour identifier les maliciels (un peu comme des empruntes digitales), mais le code d’Emotet est différent sur chaque nouvelle machine.

Il y a, cependant, de bonnes nouvelles à cet l’horizon. Le site Internet BleepingComputer.com a publié que, en janvier 2021, les services policiers internationaux ont isolé et capturé les centaines de serveurs nuagiques distribués qui étaient utilisés autour du monde pour supporter les fonctions d’Emotet. Selon Europol, depuis le 25 avril 2021, le maliciel Emotet a finalement été désinstallé de tous les systèmes infectés grâce à un module développé par l’agence de police fédérale allemande, la Bundeskriminalamt (BKA).

Malheureusement, la fermeture de l’infrastructure d’Emotet n’était que temporaire. Le maliciel a réapparu quatre mois plus tard et aussi récemment que le 15 décembre 2021, le groupe « cryptolaemus Emotet » a annoncé (sur BleepingComputer.com) qu’ils « observaient des balises Cobalt Strike (CS) dans ces fichiers de journalisation récents… ». Ces modules CS sont téléchargés directement par Emotet de son serveur C2 (Commande et Contrôle) pour ensuite être exécutés sur les machines infectées. Ils se diffusent rapidement dans les réseaux atteints, volent des fichiers et installent d’autres programmes malicieux qui ont l’accès direct aux réseaux internes.

Le 27 Janvier 2022, on apprend qu’Europol a mis la main au collet du groupe Ryuk et de son botnet Emotet, mais d’autres cybercriminelles prendront la relève tôt ou tard au moment le plus opportun. Ce n’est qu’une question de temps avant que d’autres organisations soient ciblées à nouveaux.

Vous voulez certes éviter cette situation. Alors, que pouvez-vous faire?

Le monde hyperconnecté d’aujourd’hui nécessite une défense sur plusieurs fronts. Utiliser simplement un logiciel antivirus n’est plus suffisant. Ardent Sécurité vous offre plus d’une décennie d’expérience à aider les petites, moyennes et grandes entreprises ainsi que les multinationales à répondre aux nouvelles cybermenaces de façon proactives. Les services offerts par Ardent Sécurité incluent :

Test de vulnérabilités: Où est la faille dans les défenses de votre réseau? Est-ce que vos systèmes de défense sont comme la ligne Maginot – crue impénétrable jusqu’à ce que les Allemands l’aient contournée via la Belgique? Identifiez rapidement les vulnérabilités connues dans votre réseau.

Test d’intrusion : Dans le cas où un de vos systèmes soit atteint par un maliciel, que peut faire un attaquant? Le test d’intrusion examine tous les aspects de vos logiciels ou de votre infrastructure TI en utilisant des techniques manuelles avancées de détection de failles et d’exploitation.

Simulation d’adversaires: Comme pour s’entrainer à la boxe, vous avez besoin de quelqu’un pour tester vos défenses et vos meilleures contre-attaques. Votre équipe de détection et de réponse est-elle réellement efficace? On découvrira la réponse à cette question ensemble.

Formations continues en cybersécurité : Renforcez le maillon le plus faible dans votre réseau – l’être humain. Aiguisez les cybers réflexes de vos employés afin qu’ils deviennent votre meilleur système de défense et de détection.

Conformité et résilience : Nous analysons vos systèmes et offrons des conseils pour vous guider à être conforme aux normes et standards demandés dans votre industrie.

Pour obtenir de l’aide maintenant et éviter une conversation pénible dans laquelle votre directeur des TI vous informe d’une attaque de rançongiciel ou de la perte de données critiques, contactez Ardent Sécurité dès aujourd’hui au:

647-478-2600

On peut vous aider.