Emotet : le malware le plus puissant cette année

Le virus Emotet est un ver informatique. Signalé pour la première fois aux États-Unis en 2014, il a évolué, été modifié et il est présent dans des attaques partout dans le monde depuis cette date.

Dans ces premières versions, il était spécifiquement dédié à l’attaque des services bancaires. Il avait pour but d’infiltrer les systèmes financiers afin de récupérer des données personnelles et sensibles des comptes bancaires. Au cours de ses évolutions, il a permis d’installer d’autres logiciels malveillants et s’est attaqué à d’autres secteurs d’activité.

L’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) affirme que depuis le début de l’été, il s’attaque spécifiquement aux entreprises et administrations. Plusieurs attaques ont été détectées en France ces derniers mois avec des impacts parfois importants sur la santé des systèmes informatiques touchés. 

Un malware intelligent et polymorphe

De nature polymorphe et modulaire, Emotet est un virus particulièrement difficile à détecter et contrecarrer. Dans sa version actuellement exploitée, il sert essentiellement de Cheval de Troie : son but est d’infiltrer un poste, après quoi il contamine le réseau en utilisant des failles logicielles connues. Enfin, une fois établi, il télécharge et installe d’autres virus et malwares, par l’intermédiaire de serveurs piratés et corrompus. Il peut, dans certains cas, se mettre à jour sur ces serveurs afin de changer de forme, de signature et de comportement.

Il se déploie massivement par l’intermédiaire de vagues de phishing et de spams. Il exploite aussi les conversations présentes dans la boite de messagerie du poste infecté afin de générer une fausse réponse, intégrant le virus, à une discussion existante. Ces messages intègrent, soit directement, soit par l’intermédiaire d’une pièce jointe, des liens dangereux qui déclenchent l’installation du virus. Tous types de fichiers joints peuvent intégrer ses liens, documents Office, PDF, fichiers d’archives, etc.

Les méthodes de protection

Il y a plusieurs étapes pour se protéger du virus :

Comme nous l’avons vu, il exploite des failles logicielles, notamment au niveau du système d’exploitation, pour se diffuser sur le réseau local, il est donc indispensable d’assurer que l’ensemble des systèmes du parc soit maintenu à jour.

Dans le même sens, les antivirus ont rapidement intégré les signatures spécifiques du malware et sont capables de le détecter, mais une simple désinfection ne nettoie pas forcément intégralement le virus. Maintenir son parc protégé par l’utilisation d’un antivirus mis à jour très régulièrement est indispensable.

Nous avons aussi indiqué que ce Cheval de Troie utilise des serveurs corrompus pour télécharger de nouvelles menaces et se mettre à jour. Il est donc important d’utiliser un serveur proxy qui sera capable de contrôler, et le cas échéant bloquer, les accès Internet des postes de l’entreprise.

Enfin, le point probablement le plus important, le malware se déploie par l’intermédiaire du courrier électronique, via des spams ou phishings. Il est donc indispensable de bénéficier d’une protection antispam performante qui sera à même de bloquer ces menaces pour votre système d’information.

Un point encore souvent négligé mais crucial est la sensibilisation et la formation des utilisateurs. Savoir identifier l’expéditeur d’un mail, reconnaître la cible d’un lien et savoir à quel interlocuteur transmettre ses doutes sont des éléments qui peuvent prévenir une infection systémique. 

Les mesures prises par Altospam

Dès que l’attaque a été signalée, Altospam a intégré les contre-mesures conseillées par l’ensemble des acteurs de la cybersécurité :

– Nous avons intégré dans nos moteurs d’analyse recommandations fournies par Cryptolaemus, un projet communautaire recensant les serveurs infectés.

– Au niveau des antivirus, nous avons mise en place des règles, fournies par la communauté des chercheurs en cybersécurité, des règles dédiées à la recherche d’éléments significatifs indiquant la présence du virus, dans les fichiers joints.

– Par l’analyse des messages reçus, nous avons créé des règles spécifiques aux messages participant à l’attaque.

– Nous avons également renforcé les analyses concernant les fichiers joints de type Office, PDF et Zip qui en sont le principal vecteur. Dans ce sens, le système de bac à sable (sandbox) permettant l’analyse des fichiers joints a été amélioré.

– Une liste noire en temps réel (RBL) dédiée, mise en place par un ensemble composé de RSSI des collectivités, a été intégré. Elle permet d’identifier et de bloquer les serveurs piratés utilisés pour envoyer les spams véhiculant le virus.

– Devant l’impossibilité d’analyser leur contenu, les messages contenant des pièces jointes d’archives chiffrés par mot de passe (format ZIP, RAR, 7z, etc) sont actuellement bloqués. Cette mesure est temporaire, mais elle est pour l’instant indispensable pour assurer la sécurité des systèmes que nous protégeons.