29.11.2021 - Ces derniers jours, plusieurs pays ont signalé le retour d'Emotet, qui est notamment derrière des pourriels dont l'adresse se termine par .ch. Ce maliciel, qui se cache fréquemment dans des fichiers Microsoft Office, se sert des macros pour installer un programme malveillant sur un système informatique comme un ordinateur. Il peut prendre pour cibles aussi bien les particuliers que les entreprises, les autorités ou les infrastructures critiques. Le NCSC appelle à faire preuve de la plus grande prudence, tout particulièrement avec les courriels qui comportent des pièces jointes.
En janvier 2021, on apprenait qu'une action de grande envergure (opération Ladybird) avait été menée contre Emotet, dont les serveurs de commande et de contrôle avaient été retirés du réseau et le botnet saisi par Europol. Ces dernières semaines pourtant, des experts en sécurité du monde entier ont signalé une recrudescences d'attaques commises avec ce maliciel. Depuis quelques jours, celui-ci est aussi observé en Suisse. Des courriels munis de pièces jointes infectées ont été envoyés via quatre adresses électroniques se terminant par .ch. Les documents Excel joints contenaient des macros malveillantes. Le NCSC recommande de bloquer sans tarder les documents Microsoft Office (.xlsm, .docm) sur les passerelles de messagerie. On trouvera un aperçu des sites Web véhiculant la charge active (payload) d'Emotet ici:
Emotet: maliciel le plus dangereux au monde
Emotet est un maliciel qui circule principalement via des pourriels. À l'origine, il s'agissait d’un simple cheval de Troie bancaire. L'objectif des pirates était de s'introduire dans le système informatique de leurs cibles pour se saisir des données d'accès à leurs comptes bancaires. Emotet a ensuite été employé comme injecteur (dropper), un type de moyen qui est souvent utilisé pour répandre des maliciels supplémentaires. Les données d'accès aux systèmes infectés sont fréquemment revendues à d'autres pirates. Ceux-ci s'en servent pour installer un rançongiciel avant de crypter les données sur le réseau et d'exiger une rançon.
Une fois qu'Emotet a infecté un système, il est très difficile de s'en débarrasser. Ce maliciel présente une grande capacité d'adaptation; il est notamment capable de lire la liste des contacts et la correspondance dans les boîtes aux lettres électroniques des systèmes infectés (moisson de courriels ou e-mail harvesting en anglais). Les données ainsi collectées permettent ensuite de lancer d'autres attaques. À travers des courriels falsifiés au nom de collègues, de partenaires commerciaux ou de connaissances, les nouvelles cibles sont incitées à ouvrir des documents Word et à activer les macros.
Voici comment vous protéger contre Emotet:
- soyez sur vos gardes même face aux expéditeurs qui vous sont (apparemment) connus, tout particulièrement si les courriels comportent des liens ou des pièces jointes;
- en cas de courriel suspect, essayez de prendre directement contact avec l'expéditeur et de vérifier la véracité de son message;
- bloquez les documents contenant des macros actives dans vos proxys et vos logiciels de messagerie;
- installez immédiatement toutes les mises à jour de sécurité disponibles pour les systèmes d'exploitation, les antivirus, les navigateurs Web, les clients de messagerie et les programmes Office;
- sécurisez les accès VPN avec un second facteur (authentification à deux facteurs) et veillez à ce que tous les appareils exposés soient rapidement corrigés;
- veillez à effectuer régulièrement des sauvegardes (backups) de vos données sur un support de données externe et conservez-les hors ligne;
- conservez au moins deux générations de sauvegarde;
- pour les entreprises: surveillez en permanence les accès aux réseaux de votre entreprise;
- transmettez les courriels malveillants à reports@antiphishing.ch ou signalez les messages suspects au guichet unique du NCSC au moyen du formulaire prévu à cet effet.
Dernière modification 29.11.2021