En janvier, la police criminelle fédérale allemande déclarait fièrement la fin du supposé « logiciel malveillant le plus dangereux au monde » : en coopération avec les autorités judiciaires de sept autres pays, elle avait réussi à démanteler totalement l’infrastructure de serveurs d’Emotet, désactivant ainsi ce cheval de Troie ravageur. Ce « coup dur porté à la cybercriminalité organisée internationale » n’aura, hélas, pas duré.
Quand Emotet renaît de ses cendres
Plusieurs experts en cybersécurité déclarent actuellement que des ordinateurs infectés par le logiciel malveillant TrickBot ont déjà commencé à télécharger des fichiers DLL par Internet. Ces fichiers ont été identifiés à l’unanimité comme étant liés à Emotet. Le doute n’est plus permis : les cybercriminels mettent tout en œuvre pour redonner vie au botnet afin qu’il retrouve sa force de frappe initiale.
Des spams bien conçus contenant des documents Office truqués
Les nouveaux bots d’Emotet ont repris du service. Ils envoient déjà des spams malveillants, comme l’ont confirmé les chercheurs en sécurité de Cryptolaemus sur Twitter. Des fichiers manipulés aux formats .docm ou .xlsm et des fichiers ZIP protégés par mot de passe sont envoyés aux victimes potentielles. Dans le passé, ces e-mails étaient relativement bien exécutés : ils se faisaient passer pour des messages provenant de collègues ou de partenaires commerciaux et contenaient même parfois des extraits de conversations précédentes du destinataire.
L’enjeu d’une protection de messagerie complète
Comme pour tout autre logiciel malveillant, le constat est identique : à moyen terme, il n’existe pas de protection efficace à 100 % face à Emotet. Une solution de sécurité de messagerie performante combinée à une sensibilisation adaptée des utilisateurs permet cependant, le plus souvent, d’éviter une infection de l’infrastructure de l’entreprise. Ou du moins de limiter l’impact d’une attaque si elle devait survenir.
Dans le cadre de sa solution complète CxO Fraud Detection, Retarus se base sur la combinaison de divers algorithmes permettant d’identifier le « From-Spoofing » et le « Domain-Spoofing » afin d’empêcher la compromission des messageries commerciales (Business Email Compromise) . Les e-mails provenant de fausses adresses d’expéditeur (correspondant par exemple à des responsables hiérarchiques dans une entreprise, également exploitées par Emotet) sont ainsi reconnus et filtrés avant de pouvoir être livrés.
Emotet, le logiciel caméléon depuis 2014
Emotet représente l’un des chevaux de Troie les plus « performants » de l’histoire récente de l’informatique et sert entre autres de sésame pour les ransomwares. Selon les estimations, le logiciel malveillant aurait occasionné au moins 14,5 millions d’euros de dommages rien qu’en Allemagne. Emotet a été « découvert » pour la première fois en 2014 et n’a cessé de se transformer depuis. Afin d’assurer une protection optimale prenant en compte ces variantes toujours plus sophistiquées, Retarus mise sur son mécanisme breveté Postdelivery Protection Patient Zero Detection. La solution détecte les programmes malveillants et liens hypertexte dangereux même dans les e-mails ayant déjà été livrés, dès que les patterns correspondants sont disponibles.
Par ailleurs, grâce au modèle modulaire de sa plateforme complète Secure Email Platform, Retarus couvre parfaitement tous les composants du canal de communication. Un plan B reste possible, par exemple lorsque, malgré toutes les précautions, l’infrastructure de messagerie de l’entreprise se trouve bloquée. Ainsi, avec Email Continuity, les entreprises et leurs employés conservent à tout moment une alternative d’accès à leur communication d’entreprise par e-mail. Précieux !