Auteur : Itay Bochner
Résumé
Le nom d'Emotet est apparu assez souvent dans l'actualité ces derniers temps après une longue période sous le radar, en particulier dans le contexte d'attaques de ransomware généralisées et de campagnes d'hameçonnage avancées. Il s'agit d'un cheval de Troie avancé généralement distribué par le biais de pièces jointes à des courriels et de liens qui, une fois cliqués, lancent la charge utile. Emotet fonctionne comme un dropper pour d'autres logiciels malveillants.
Qu'est-ce qui rend Emotet si spécial qu'il est devenu le plus grand botnet utilisé par les acteurs de la menace ?
Pour comprendre cela, nous allons commencer par le début...
Emotet expliqué
Emotet a été identifié pour la première fois en 2014 lorsque des clients de banques allemandes et autrichiennes ont été affectés par le cheval de Troie. Il a été développé comme un simple cheval de Troie capable de voler des informations sensibles et privées. Au fur et à mesure de son évolution, il a acquis d'autres fonctionnalités, telles que le spamming et les services de livraison de logiciels malveillants (un Dropper) qui, après avoir infecté un PC, installent d'autres logiciels malveillants. En général, les programmes suivants sont installés :
- TrickBot - Un cheval de Troie bancaire qui tente d'accéder aux données de connexion des comptes bancaires.
- Ryuk : un ransomware qui crypte les données et empêche l'utilisateur de l'ordinateur d'accéder à ces données ou à l'ensemble du système.
Emotet se propage à la manière d'un ver par le biais de pièces jointes à des courriels d'hameçonnage ou de liens qui chargent une pièce jointe d'hameçonnage. Une fois ouvert, Emotet se propage dans un réseau en devinant les informations d'identification de l'administrateur et en les utilisant pour écrire à distance sur des lecteurs partagés à l'aide du protocole de partage de fichiers SMB, ce qui permet à l'attaquant de se déplacer latéralement dans un réseau.
Selon l'US-CISA :
Emotet est un cheval de Troie avancé qui se propage principalement par le biais de pièces jointes et de liens d'hameçonnage qui, une fois cliqués, lancent la charge utile(Phishing : Spearphishing Attachment[T1566.001], Phishing : Spearphishing Link[T1566.002]). Le logiciel malveillant tente ensuite de proliférer au sein d'un réseau en forçant les informations d'identification des utilisateurs et en écrivant sur des lecteurs partagés(Brute Force : Password Guessing[T1110.001], Valid Accounts : Comptes locaux[T1078.003], Services distants : SMB/partages Windows Admin[T1021.002]).
Ce qui précède montre pourquoi Emotet est difficile à prévenir, en raison de ses techniques spéciales d'évasion et de ses caractéristiques de "ver" qui lui permettent de se propager latéralement et de manière autonome au sein du réseau.
Une autre caractéristique essentielle est qu'Emotet utilise des DLL (Dynamic Link Libraries) modulaires pour évoluer et mettre à jour ses capacités en permanence.
Activité récente
De nombreux rapports font état d'une forte augmentation de l'utilisation d'Emotet
- Les attaques détectées utilisant le cheval de Troie Emotet ont augmenté de plus de 1200% entre le deuxième et le troisième trimestre de cette année, soutenant ainsi la montée en puissance des campagnes de ransomware, selon les dernières données de HP Inc.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - Depuis juillet 2020, la CISA a constaté une augmentation de l'activité des indicateurs associés à Emotet. Pendant cette période, le système de détection des intrusions EINSTEIN de la CISA, qui protège les réseaux fédéraux, civils et exécutifs, a détecté environ 16 000 alertes liées à l'activité d'Emotet.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - Le mois dernier, Microsoft, l'Italie et les Pays-Bas ont mis en garde contre une recrudescence des activités de spam malveillant liées à Emotet, quelques semaines après que la France, le Japon et la Nouvelle-Zélande ont lancé leurs alertes concernant Emotet.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - Ces dernières semaines, nous avons constaté une augmentation significative du nombre de Malspam Emotet
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/).
Ce qui est assez unique dans le comportement d'Emotet au cours de cette nouvelle vague, c'est le changement des campagnes de spam d'Emotet, qui utilisent maintenant aussi des fichiers ZIP protégés par mot de passe au lieu de documents Office.
L'idée est qu'en utilisant des fichiers protégés par un mot de passe, les passerelles de sécurité du courrier électronique ne peuvent pas ouvrir l'archive pour en analyser le contenu et ne verront pas les traces du logiciel malveillant Emotet à l'intérieur.
Palo Alto Networks a également publié une nouvelle technique utilisée par Emotet, appelée Thread Hijacking. Il s'agit d'une technique d'attaque par courrier électronique qui utilise des messages légitimes volés aux clients de messagerie des ordinateurs infectés. Ce Malspam usurpe l'identité d'un utilisateur légitime et se fait passer pour une réponse à l'e-mail volé. Le Malspam détourné est envoyé aux adresses du message original.
OPSWAT offre des solutions préventives qui peuvent empêcher votre organisation d'être attaquée par Emotet. Nos solutions aident les organisations à empêcher Emotet de pénétrer dans les réseaux.
Email Gateway Security arrête les attaques de phishing
Secure L'accès facilite la validation de la conformité
MetaDefender Core avec Deep CDR (Content Disarm and Reconstruction) offre une protection de sécurité pour le téléchargement de fichiers à l'aide de.
Pour plus d'informations, contactez-nous dès aujourd'hui.
