Le botnet Emotet a pris ses vacances de Noël, mais il est à nouveau opérationnel. Les campagnes massives de phishing et de spam ont également repris. Ces campagnes, qui impliquent des millions de spams, utilisent divers leurres pour inciter les gens à ouvrir une pièce jointe et à activer un contenu.
Le contenu en question comprend une macro qui exécute une commande PowerShell qui, à son tour, télécharge et exécute le cheval de Troie Emotet.
Qu’est-ce que le cheval de troie Emotet ?
Le cheval de Troie Emotet est une mauvaise nouvelle. Emotet n’était autrefois qu’un cheval de Troie bancaire dont le but était de voler des références bancaires en ligne. Il le fait toujours, et bien plus encore. Désormais, Emotet vole aussi les informations d’identification des applications et des navigateurs installés. Il peut se propager automatiquement et envoie des copies de lui-même par email aux contacts de la victime.
Comme si cela ne suffisait pas, Emotet a une autre astuce dans sa manche. Il est également un téléchargeur d’autres variantes de malwares tels que le cheval de Troie TrickBot et le ransomware Ryuk. Ces charges utiles supplémentaires permettent de voler et de vendre des données à des fins lucratives, de chiffrer des fichiers sur le réseau et d’émettre des demandes de rançon. Emotet a également livré des mineurs de crypto-monnaie dans le passé et pourrait livrer n’importe quelle autre charge utile de malwares.
L’ampleur du réseau de botnets est stupéfiante. Au premier trimestre 2019, Emotet était responsable de 6 charges utiles malveillantes sur 10 livrées par la messagerie électronique. Mais même si les acteurs à l’origine des menaces du botnet ont cessé leurs activités pendant près de la moitié de l’année 2019, Emotet reste la principale menace de malwares de l’année.
Des attaques dans le secteur de la santé
Emotet est revenu à la vie le 13 janvier 2020 avec des attaques ciblées sur l’industrie pharmaceutique en Amérique du Nord, mais il n’a pas fallu longtemps pour que les attaques se répandent encore plus loin. Aujourd’hui, plus de 80 pays sont attaqués et en plus de l’anglais, des campagnes ont été détectées en italien, polonais, allemand, espagnol, japonais et chinois.
Les leurres utilisés pour tromper les utilisateurs finaux et pour les inciter à ouvrir les pièces jointes aux emails sont très variés et changent souvent. Des leurres éprouvés tels que les fausses factures, commandes, relevés, accords, avis de paiement, reçus et avis de livraison sont souvent utilisés dans les attaques contre les entreprises, qui sont les principales cibles.
Avant que les attaques de botnets aient fait un répit en décembre, des emails sur le thème de Greta Thunberg étaient utilisés avec des invitations à une fête de Noël.
Les thèmes des emails peuvent changer, mais les messages ont un point commun. Ils demandent à l’utilisateur final d’agir. Il s’agit généralement d’ouvrir un document, une feuille de calcul ou un autre fichier. Il peut également s’agir d’un clic sur un lien hypertexte intégré dans un email. Une fois l’action entreprise, Emotet sera téléchargé en silence.
Comment se protéger des attaques Emotet ?
Il existe deux moyens principaux de bloquer les attaques cybercriminelles et ils sont tous deux nécessaires. le premier consiste à s’assurer que le système de messagerie électronique est sécurisé, ce qui implique la mise en place d’un filtre anti-spam efficace.
Les entreprises qui utilisent Office 365 bénéficient d’un minimum de protection via Exchange Online Protection (EOP), une solution qui est incluse dans les abonnements Office 365. Cependant, elles ne devraient pas compter uniquement sur l’EOP. Comme autre solution, des défenses à plusieurs niveaux sont donc nécessaires.
SpamTitan est un puissant filtre anti-spam qui améliorera la protection contre les menaces de malwares tels qu’Emotet. Il peut être superposé à Office 365 pour assurer une meilleure protection et empêcher les malwares de parvenir aux boîtes de réception de vos employés.
Des moteurs anti-virus sont également incorporés à la solution pour détecter les menaces connues. De plus, SpamTitan comprend une sandbox qui permet d’identifier les menaces que les mécanismes de détection basés sur les signatures ne peuvent pas détecter.
De nombreuses entreprises déploient diverses solutions de sécurité, mais ne préparent pas leurs employés à une éventuelle attaque. Si les emails malveillants passent outre les solutions de sécurité et sont livrés dans les boîtes de réception de vos employés, il suffit que l’un d’entre eux n’arrive pas à repérer la menace et réponde au message pour qu’Emotet, et éventuellement un ransomware, soit installé. Il est donc important d’organiser régulièrement des formations de sensibilisation à la sécurité pour tous les employés de l’entreprise, du PDG jusqu’au personnel d’encadrement. Si vous n’apprenez pas à vos employés comment identifier les emails malveillants, n’attendez pas à ce qu’ils soient capables de repérer les menaces et signalent les messages malveillants à l’équipe de sécurité.
Heureusement, grâce à une combinaison de solutions de sécurité des emails et de formation de sensibilisation à la sécurité, la menace d’Emotet peut être neutralisée. Pour plus d’informations sur la sécurisation des emails, appelez TitanHQ dès aujourd’hui.