En novembre 2018, le district scolaire de Rockingham, en Caroline du Nord, a été victime d’une infection par le malware Emotet, dont la résolution a coûté 218 000 euros.
Le malware a d’abord été signalé comme utilisant des spams.
Des messages indésirables ont été envoyés dans les boîtes de réception de plusieurs utilisateurs pour les inciter à installer des malwares. Il s’agit d’une technique souvent utilisée par les pirates informatiques pour lancer leurs attaques.
Les e-mails semblaient avoir été diffusés par le fournisseur d’antivirus utilisé par le district scolaire, avec comme objet « Facture incorrecte » et la facture correcte envoyée en pièce jointe.
Les e-mails étaient crédibles et ressemblaient à de nombreux autres e-mails légitimes reçus quotidiennement par les utilisateurs du district scolaire.
Ils demandaient à leurs destinataires d’ouvrir et de vérifier la facture jointe. Cependant, en faisant cela, ils permettent le téléchargement et l’installation d’un malware sur leurs appareils informatiques.
Peu de temps après la réception et l’ouverture de ces e-mails, le personnel du district a commencé à rencontrer des problèmes. L’accès à Internet semblait avoir été désactivé pour certains utilisateurs. Des rapports de Google indiquaient également que des comptes de messagerie avaient été désactivés en raison des messages de spams qu’ils ont reçus.
Le district scolaire s’est penché sur la question et avait découvert que plusieurs de ses appareils et serveurs avaient déjà été infectés par des malwares.
Le malware Emotet est un ver qui peut se partager sur un réseau. L’infection d’une machine entraîne l’envoi du virus vers d’autres appareils vulnérables. Le ver laisse un type de malware bancaire sur les appareils infectés, lequel est ensuite utilisé pour voler les informations d’identification des victimes, y compris leurs coordonnées bancaires en ligne.
Emotet est une variante de malware très avancée qui est difficile à repérer et à combattre. Le district scolaire de Rockingham a découvert à quel point les infections par les malwares Emotet peuvent être gênantes lorsque des tentatives ont été faites pour supprimer le ver.
Le district scolaire a réussi à nettoyer certaines machines infectées en réinstallant leurs systèmes d’exploitation, mais ceci n’était pas suffisant car le malware pouvait encore réinfecter ces appareils.
La lutte contre l’attaque a nécessité l’aide d’experts en sécurité. Dix ingénieurs de ProLogic ITS ont passé environ 1 200 heures sur place à réinstaller les machines. 12 serveurs et environ 3 000 points d’extrémité ont dû être restaurés pour supprimer le malware et arrêter la réinfection. Le coût du nettoyage s’est élevé à 218 000 euros.
Des attaques de ce type sont loin d’être inhabituelles. Les cybercriminels se concentrent sur un large éventail de vulnérabilités pour installer des malwares sur les ordinateurs et les serveurs des entreprises.
Pour notre cas, ils ont profité des lacunes dans les défenses de messagerie électronique du district scolaire et du manque de sensibilisation des membres du personnel à la sécurité.
De même, les malwares pouvaient être téléchargés en exploitant des failles non corrigées dans les logiciels, ou par des téléchargements en mode « drive-by » (une technique permettant l’installation automatique d’un logiciel malveillant suite à la consultation d’un e-mail ou d’un site web malveillant).
Pour se prémunir contre Emotet, les malwares et autres virus et vers, des défenses par couches sont nécessaires.
- Une solution avancée de filtrage du spam peut garantir que les e-mails malveillants n’arrivent pas dans les boîtes de réception des utilisateurs finaux.
- Les systèmes de détection des points d’accès peuvent détecter les comportements inhabituels des utilisateurs.
- Des solutions antivirus peuvent être mises en place pour découvrir et arrêter les infections.
- Il est nécessaire d’utiliser des filtres web pour bloquer les attaques basées sur le web et les téléchargements en mode « drive-by ».
Bien entendu, les utilisateurs finaux constituent la dernière ligne de défense et il convient donc de leur apprendre à reconnaître les e-mails et les sites web malveillants.
Seule une combinaison de ces mesures et d’autres mesures de cybersécurité pourra garantir la sécurité de votre organisation face aux menaces en ligne.