Le cheval de Troie Emotet est de nouveau actif
La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a observé de nouveau différentes vagues d'e-mails malveillants avec des documents Word en pièce jointe. Ces vagues contiennent le maliciel Emotet, connu depuis longtemps et se faisant aussi appeler Heodo. Ce maliciel était originellement un cheval de Troie ciblant le "e-banking". Actuellement, Emotet est utilisé pour envoyer du spam mais aussi pour télécharger des maliciels supplémentaires. Emotet recourt à de l'ingénierie sociale et cherche, à travers des e-mails falsifiés au nom de collègues, partenaires commerciaux ou connaissances, à inciter le destinataire à ouvrir des documents Word et activer les macros.
Déjà en novembre 2018, l'Office fédéral allemand en matière de technologies de l'information (BSI), a publié une alerte au sujet d'Emotet, qui télécharge en particulier le cheval de Troie bancaire "Trickbot" et se propage à la manière d'un ver dans les réseaux d'entreprises à travers la faille connue du protocole SMB "EternalBlue" :[https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html]
Selon les informations à disposition de MELANI, le maliciel Emotet est également activement utilisé pour infecter les postes de travail et les réseaux d'entreprises avec un rançongiciel (ransomware) nommé "Ryuk". Ce dernier chiffre les données stockées sur les postes de travail et les serveurs des entreprises victimes et demande une rançon importante (200 000 CHF et plus). Ce sont uniquement les ordinateurs et serveurs utilisant le système d'exploitation Windows qui sont ici touchés. Au vu de sa capacité à se déplacer comme un ver, il existe un risque accru que le cheval de Troie se propage au sein des réseaux d'entreprises et inflige des dégâts importants.
MELANI rappelle les recommandations suivantes:
- Veillez à effectuer des sauvegardes régulières de vos données importantes sur un support externe (p.ex. un disque dur externe), qui sera connecté à l'ordinateur uniquement lors de la sauvegarde des données. Si cette condition n'est pas remplie, le risque existe qu'un ransomware chiffre les données de sauvegarde
- Il convient de toujours garder à jour son système d'exploitation et toutes les applications (p.ex. Adobe Reader, Adobe Flash, Oracle Java etc.) installées sur sa machine, de manière automatique lorsque cela est possible
- La segmentation du réseau (séparation des réseaux clients/serveur/Domain-Controller tout comme les réseaux de production industriels avec une administration isolée) selon les différentes zones de confiance, d'application et/ou de région
- Le respect du principe de moindre privilège ("least privilege") notamment sur les serveurs de fichier (aucun utilisateur ne devrait avoir accès à toutes les données, si ces accès ne sont pas nécessaires)
- Utiliser des appareils dédiés sans accès ou avec un accès limité à Internet pour la gestion des systèmes et les paiements
Sur la base des dangers actuels que peuvent poser les macros Office, MELANI recommande aux entreprises et infrastructures critiques les mesures supplémentaires suivantes:
- Bloquer par des moyens techniques l'exécution de macros Office non-signées
- Bloquer par des moyens techniques la réception de documents Office contenant des macros sur le Gateway e-mail ou en appliquant un filtre spam.
Pour prévenir une infection par Emotet, tout comme le téléchargement de maliciels supplémentaires, MELANI recommande de bloquer les pages Internet qui sont utilisées pour propager le maliciel, au niveau du périmètre du réseau comme par exemple sur le Web-Proxy ou le serveur DNS. Une liste des sites utilisés par Emotet est notamment à disposition sur abuse.ch:
https://urlhaus.abuse.ch/api/
Par ailleurs, MELANI recommande de bloquer les communications avec les serveurs utilisés pour administrer les machines infectées par Emotet (serveurs de commande et de contrôle). Une liste d'adresses IP liées à Emotet est par exemple publiée sur le Feodo Tracker de abuse.ch :
https://feodotracker.abuse.ch/blocklist/
Des mesures supplémentaires et des informations détaillées sont disponibles dans les documents suivants:
Sécurité de l'information: aide-mémoire pour les PME:
https://www.melani.admin.ch/melani/fr/home/documentation/listes-de-controle-et-instructions/securite-informatique--aide-memoire-pour-les-pme.html
Page consacrée aux rançongiciels:
https://www.melani.admin.ch/melani/fr/home/themen/Ransomware.html