Le fameux cheval de Troie informatique aux conséquences redoutables a plus d’un tour dans son sac. Après seulement six mois de répit, Emotet est déjà de retour. De nouveau très actif, il envahit les boîtes de messagerie d’entreprises et d’administrations à grand renfort d’e-mails frauduleux particulièrement dangereux sous des dehors pourtant si authentiques.
Nos collègues de Retarus Threat Intelligence enregistrent depuis fin juillet un véritable bombardement permanent par Emotet. Les e-mails d’Emotet sont des plus perfides. A première vue, les expéditeurs correspondent à de réels collègues, les messages font référence à des conversations de messagerie précédentes et incluent même depuis peu en pièce jointe des documents en lien avec des échanges précédents. Suffisant pour mettre totalement en confiance et atténuer le niveau vigilance du destinataire et l’amener à cliquer sur le lien inclus dans le message. Les conséquences sont désastreuses.
Emotet parvient le plus souvent à infecter les systèmes au moyen de documents Word contenant des macrovirus. Ces derniers sont stockés par les auteurs et les profiteurs du logiciel malveillant sur des serveurs les plus insoupçonnables, qui sont constamment échangés. Lorsqu’un collaborateur est amené à ouvrir un de ces fichiers et à activer les macros contenus, le logiciel malveillant parvient à lire le carnet d’adresses et les e-mails de Microsoft Outlook (ce que l’on appelle le « Outlook Harvesting ») et génère de nouveaux messages frauduleux envoyés à des destinataires faisant partie du réseau de l’entreprise attaquée. Emotet peut en outre charger des logiciels malveillants supplémentaires, par exemple pour obtenir des données d’accès ou un accès à distance. Le programme malveillant cherche de manière générale à paralyser l’ensemble de l’infrastructure informatique et/ou à soutirer des paiements sous forme de demande de rançon.
Comment se protéger efficacement contre Emotet ?
Espérer une protection à 100 % efficace face à Emotet serait illusoire. En particulier parce que ce logiciel malveillant « polymorphe » (identifié à l’origine en 2014) est en mutation permanente et son développement, continu. Une solution de sécurité de messagerie performante combinée à une sensibilisation adaptée des utilisateurs permet cependant le plus souvent d’éviter une infection ou de limiter l’impact d’une attaque.
Parmi les différents services proposés par Retarus, la solution de Postdelivery Protection Patient Zero Detection® brevetée pour tous les marchés correspondants est particulièrement adaptée pour faire face. Elle permet de reconnaître les programmes malveillants et liens hypertexte dangereux même dans les e-mails ayant déjà été envoyés et d’avertir les destinataires et les administrateurs dès que les correctifs correspondants sont disponibles pour l’un des quatre scanners d’AntiVirus MultiScan.
PZD Real-Time Response va encore plus loin : ce logiciel prévu pour les environnements Exchange permet de traiter les résultats de la solution Patient Zero Detection® sur la base de règles afin de reconnaître les e-mails potentiellement dangereux dans la boîte de réception d’un utilisateur et de les déplacer ou supprimer automatiquement. Les deux outils peuvent simplifier de manière significative la mitigation et la forensic lors d’une attaque Emotet.
Les ordinateurs infectés à déconnecter au plus vite du réseau
Dans tous les cas, les ordinateurs infectés par Emotet doivent être déconnectés d’Internet et du réseau d’entreprise le plus vite possible, afin dèviter que les clients concernés propagens le malware dans l’entreprise ou chargens des charges utiles (payload) dangereuses depuis le réseau. Le logiciel lui-même est programmé et installé de manière si astucieuse et se cache si profondément dans le système qu’il est préférable de réinitialiser complètement les PC affectés et de les reconfigurer à partir de zéro.
Afin d’éviter le plus possible à vos utilisateurs d’être confrontés à ce genre d’incident, nous vous invitons à découvrir notre Guide anti-phishing gratuit qui regorge de conseils pratiques pour utiliser votre messagerie le plus judicieusement possible. Ce petit mode d’emploi est disponible en cinq langues pour être téléchargé et transmis à vos collaborateurs.
Vous trouverez davantage d’informations sur la Secure Email Platform de Retarus, y compris sur la solution Patient Zero Detection® et sur PZD Real-Time Response sur notre site Web ou directement auprès de votre interlocteur habituel.