Parfois, il peut sembler que la vie n’est pas juste.
Le district scolaire de Rockingham en Caroline du Nord utilisait depuis des années un logiciel antivirus informatique très réputé et très populaire pour protéger son entreprise. Le personnel de direction pensait que cela protégerait son district scolaire contre les attaques de malwares. En fait, ce logiciel leur a bien été utile, car il permettait d’éviter les infections par ransomware et protégeait leurs données.
Néanmoins, même si aucune des plus grandes menaces de malwares des trois dernières années n’a pas pu infecter le district scolaire et perturber son processus d’apprentissage, le cheval de Troie bancaire Emotet l’a fait le mois dernier, et ce, de manière importante. En effet, un utilisateur a cliqué sur un fichier EXE infecté dans un e-mail de phishing, dont l’objet était « Facture incorrecte ». Ce simple clic a totalement perturbé les opérations pendant un mois complet et a coûté 314 000 $ au district scolaire.
Comment Emotet a-t-il pu infecter le système scolaire ?
Emotet est une grande menace.
C’est en partie un cheval de Troie et en partie un ver réseau qui vole des informations bancaires, des carnets d’adresses et qui peut mener des attaques DDOS (ou attaque par déni de service). Le ver a fait son apparition pour la première fois en 2014. Il cible les mots de passe faibles des administrateurs pour se répandre sur le réseau d’une victime et déposer des « charges utiles » malveillantes sur les ordinateurs cibles.
Malheureusement, Emotet est une nouvelle race de malwares qui fait son apparition partout dans le monde. Il est intelligent … si intelligent qu’il est capable de surpasser de 75% les capacités de tous les logiciels antivirus actuellement disponibles sur le marché.
La plupart des malwares sont faciles à combattre, en particulier ceux qui utilisent la messagerie électronique pour leur déploiement. Les pièces jointes malveillantes attendent que des utilisateurs peu méfiants cliquent dessus.
Parce que leurs codes sont stationnaires et immuables, les fabricants de logiciels antivirus peuvent facilement identifier les signatures de code et créer un autre pour éliminer ces malwares. Seulement, Emotet est une souche polymorphe de malware bancaire capable de se modifier, de changer son apparence et, par conséquent, de passer inaperçue.
Le cauchemar commence …
Le personnel technologique du district scolaire de Rockingham a commencé à se rendre compte que quelque chose n’allait pas quand Google a commencé à désactiver certains comptes de messagerie qui produisaient du spam.
C’est l’une des principales méthodes qu’Emotet utilise pour se répandre. Une fois qu’il arrive à infecter les machines, il examine les contacts de courrier électronique de leurs utilisateurs et commence le processus de spam. Quelque temps après, des appels téléphoniques ont commencé à arriver, informant que les utilisateurs ne pouvaient plus accéder à Internet.
Ceci était dû aux attaques DDOS qui ont infecté les ordinateurs hébergés sur le réseau interne. Pour toutes ces raisons, l’infrastructure réseau du système scolaire a été fermée.
Le personnel technologique a commencé à utiliser des moyens traditionnels pour nettoyer les machines infectées. Lorsque cela n’a pas fonctionné, ils ont essayé de réimager les ordinateurs, mais ceux-ci ont été réinfectés en quelques minutes seulement. En l’absence de voies de recours effectives, la catastrophe a été portée à l’attention de la commission scolaire, laquelle a voté en faveur de la mise en place d’un service externe d’atténuation des virus pour débarrasser des vingt serveurs (qui ont dû être reconstruits à partir de zéro) et des 3 000 ordinateurs infectés. Il a fallu 10 ingénieurs et plus de 1 200 heures de travail sur site pour réaliser ce travail. Le coût de cette opération s’est élevé à 314 000 $. Le FBI a également été informé de l’incident et s’est penché sur la question.
Le Trojan Emotet aurait-il pu être arrêté ?
Le directeur de l’école de Rockingham a qualifié Emotet de virus qui semblait impossible à mettre en quarantaine. Les responsables de l’école ainsi que les membres de la communauté se demandaient comment cela aurait pu être évité.
Bien que nous ne sachions pas quel type de sécurité du courrier électronique le district scolaire a utilisé, ce qui est certain est que le courrier électronique est la principale méthode de déploiement utilisée par les cybercriminels.
Non seulement la sécurité de la messagerie électronique est aujourd’hui primordiale pour mettre en place une stratégie de sécurité à plusieurs niveaux, mais la formation des utilisateurs est également impérative et le scepticisme prudentiel doit être la règle.
Emotet est déployé par le biais d’une pièce jointe qui sert de macro téléchargeur de charges utiles potentiellement dommageables.
Les macros sont une série d’opérations qui peuvent automatiser les processus de routine. Malheureusement, ils sont aussi utilisés par les cybercriminels. Si les macros sont activées, un code encapsulé télécharge un fichier exécutable Windows dans le répertoire AppData\Local\Temp, avec un nom de fichier de 5 chiffres aléatoires et une extension de fichier.exe.
Si vous n’êtes pas un utilisateur expérimenté, vous devriez aller dans les paramètres de Word et sélectionner « Désactiver toutes les macros avec notification » ou au moins « Désactiver toutes les macros à l’exception des macros signées numériquement » pour éviter les problèmes de sécurité.
Le virus est conçu pour cibler les machines qui n’ont pas été correctement mises à jour. Ainsi, il est impératif de s’assurer que toutes les machines soient mises à jour et que les patchs soient correctement appliqués. Un système de gestion basé sur un portail utilisé par les fournisseurs de services gérés peut s’avérer très efficace dans ces situations.
La cyberattaque qui a secoué le district scolaire de Rockingham montre comment les cyberattaques ne cessent de se moduler et d’évoluer. C’est aussi un exemple de la façon dont la dépendance à un seul type de cybersécurité ne suffit plus pour protéger votre organisation. Des audits de sécurité continus, une sécurité réseau en couches et une formation sur les meilleures pratiques pour tous les employés sont essentiels. Les logiciels malveillants ne sont pas justes, ils existent tout simplement et vous devez y faire face.