\u00c7a va \u00eatre un de ces jours. Votre directeur des TI ou RSSI semble inquiet et vous avez l\u2019estomac qui br\u00fble en \u00e9coutant son sommaire de la situation. Vous \u00eates perdu dans les d\u00e9tails techniques: \u00ab\u00a0Emotet\u00a0\u00bb, \u00ab\u00a0Mealybug\u00a0\u00bb et un groupe inf\u00e2me appel\u00e9 \u00ab\u00a0le groupe Ryuk\u00a0\u00bb. Vous lui posez alors la question\u00a0: \u00ab\u00a0Qu\u2019est-ce qu\u2019on peut faire?\u00a0\u00bb. Vous traduisez sa r\u00e9ponse et cette derni\u00e8re se r\u00e9sume \u00e0 des pertes de revenus et de productivit\u00e9\u2026 et une conversation d\u00e9sagr\u00e9able avec votre patron et les actionnaires.<\/em><\/p>\n Si votre organisation est connect\u00e9e \u00e0 l\u2019Internet de n\u2019importe quelle fa\u00e7on, vous \u00eates vuln\u00e9rables \u00e0 un logiciel malicieux (maliciel) nomm\u00e9 \u00ab\u00a0Emotet\u00a0\u00bb. Ce maliciel est apparu pour la premi\u00e8re fois en 2014 et est le produit d\u2019un groupe de pirates informatiques d\u00e9nomm\u00e9 \u00ab\u00a0Mealybug<\/em>\u00a0\u00bb. Emotet se cache dans des pourriels qui prennent l\u2019apparence de compagnies reconnues comme PayPal ou DHL. Si un utilisateur ouvre le courriel et le document Word ou Excel attach\u00e9 (souvent nomm\u00e9 \u00ab\u00a0Facture\u00a0\u00bb ou \u00ab Re\u00e7u\u00a0\u00bb) et si le syst\u00e8me poss\u00e8de une connexion Internet active, une macro int\u00e9gr\u00e9e t\u00e9l\u00e9charge du code additionnel qui r\u00e9colte le carnet d\u2019adresses de la machine et envoie un nouveau lot de pourriels \u00e0 tous les contacts trouv\u00e9s, propageant l\u2019infection d\u2019avantage.<\/p>\n Mais tout cela est seulement la premi\u00e8re g\u00e9n\u00e9ration d’Emotet cr\u00e9\u00e9 par Mealybug<\/em>. Apr\u00e8s sept ans, le groupe Mealybug <\/em>est maintenant une op\u00e9ration criminelle \u00e0 service complet, fournissant leur programme malicieux en tant que service (MaaS) \u00e0 d\u2019autres organisations criminelles. Ces derni\u00e8res incluent le groupe Ryuk, renomm\u00e9 pour leurs attaques ran\u00e7ongiciels contre les gouvernements et les compagnies dans les secteurs de l\u2019\u00e9ducation, de la sant\u00e9, de la manufacture et de la technologie.<\/p>\n \u00c0 partir de 2017, Emotet \u00e9tait aussi utilis\u00e9 pour distribuer le cheval de Troie \u00ab\u00a0Trickbot<\/em>\u00a0\u00bb qui ciblait les compagnies bancaires am\u00e9ricaines avec des courriels d\u2019hame\u00e7onnage. Ces courriels, qui contenaient un lien DropBox, incitant les utilisateurs \u00e0 t\u00e9l\u00e9charger un \u00ab\u00a0document s\u00e9cure\u00a0\u00bb cachant un maliciel arbitraire.<\/p>\n Combien ces attaques ont-elles r\u00e9ellement co\u00fbt\u00e9es? Selon l\u2019avis de s\u00e9curit\u00e9 envoy\u00e9e en juillet 2018 par le d\u00e9partement de la s\u00e9curit\u00e9 int\u00e9rieure des \u00c9tats-Unis, les infections Emotet<\/a> aupr\u00e8s des organisations gouvernementales auraient co\u00fbt\u00e9 jusqu\u2019\u00e0 un million de dollars \u00e0 r\u00e9gler par incident.<\/p>\n Vos informaticiens vous ont assur\u00e9 que vos programmes antivirus \u00e9taient pleinement mis \u00e0 jour. Comment ce maliciel a-t-il \u00e9vit\u00e9 la d\u00e9tection?<\/em><\/p>\n Emotet est construit de code polymorphe. Il se modifie lui-m\u00eame pendant le processus d\u2019installation sur un syst\u00e8me tel qu\u2019aucune version n\u2019est identique \u00e0 une autre et chaque installation parait unique \u00e0 l\u2019inspection. Les antivirus bas\u00e9s sur la d\u00e9tection de signatures tentent de d\u00e9tecter des blocs de codes sp\u00e9cifiques pour identifier les maliciels (un peu comme des empruntes digitales), mais le code d\u2019Emotet est diff\u00e9rent sur chaque nouvelle machine.<\/p>\n Il y a, cependant, de bonnes nouvelles \u00e0 cet l\u2019horizon. Le site Internet BleepingComputer.com<\/a> a publi\u00e9 que, en janvier 2021, les services policiers internationaux ont isol\u00e9 et captur\u00e9 les centaines de serveurs nuagiques distribu\u00e9s qui \u00e9taient utilis\u00e9s autour du monde pour supporter les fonctions d\u2019Emotet. Selon Europol, depuis le 25 avril 2021, le maliciel Emotet a finalement \u00e9t\u00e9 d\u00e9sinstall\u00e9 de tous les syst\u00e8mes infect\u00e9s gr\u00e2ce \u00e0 un module d\u00e9velopp\u00e9 par l\u2019agence de police f\u00e9d\u00e9rale allemande, la Bundeskriminalamt (BKA).<\/p>\n Malheureusement, la fermeture de l\u2019infrastructure d\u2019Emotet n\u2019\u00e9tait que temporaire. Le maliciel a r\u00e9apparu quatre mois plus tard et aussi r\u00e9cemment que le 15 d\u00e9cembre 2021, le groupe \u00ab\u00a0cryptolaemus Emotet\u00a0\u00bb a annonc\u00e9 (sur BleepingComputer.com<\/a>) qu\u2019ils \u00ab\u00a0observaient des balises Cobalt Strike<\/a> (CS) dans ces fichiers de journalisation r\u00e9cents\u2026\u00a0\u00bb. Ces modules CS sont t\u00e9l\u00e9charg\u00e9s directement par Emotet de son serveur C2 (Commande et Contr\u00f4le) pour ensuite \u00eatre ex\u00e9cut\u00e9s sur les machines infect\u00e9es. Ils se diffusent rapidement dans les r\u00e9seaux atteints, volent des fichiers et installent d\u2019autres programmes malicieux qui ont l\u2019acc\u00e8s direct aux r\u00e9seaux internes.<\/p>\n Bye-bye botnets\ud83d\udc4b Huge global operation brings down the world’s most dangerous malware.<\/p>\n Investigators have taken control of the Emotet botnet, the most resilient malware in the wild.<\/p>\n Get the full story: https:\/\/t.co\/NMrBqmhMIf<\/a> pic.twitter.com\/K28A6ixxuM<\/a><\/p>\n \u2014 Europol (@Europol) January 27, 2021<\/a><\/p><\/blockquote>\n\n