Qu’est-ce qu’Emotet ?

Emotet est un logiciel malveillant de type cheval de Troie. Il se compose d’un code malveillant lancé par le groupe de cyberattaquant TA542. Ce code est réparti en trois serveurs distincts Epoch 1, Epoch 2 et Epoch 3.

Comme le déclare l’ANSSI, ce malware s’impose dans les boîtes mails afin de :

  • récupérer les mots de passe
  • dérober des listes de contacts, le contenu et pièces jointes de vos e-mails
  • se propager au sein du réseau infecté.

Emotet est polymorphe, “ce qui signifie qu’il peut changer sa représentation à chaque téléchargement, échappant ainsi aux détections basées sur les signatures” (malwarebytes.com).

Il est communément identifié comme e-mail (phishing) ou SMS (smishing) :

    • avec des pièces jointes corrompues de type PDF ou fichier Word contenant des macros.
      Les macros sont de petits programmes que l’utilisateur choisit ou non d’activer à l’ouverture d’un document. Elles permettent d’effectuer des actions très puissantes dans des fichiers tels que Word, Excel, Powerpoint.
    • plus rarement, truffé de liens URL redirigeant vers des sites compromis.

En s’inflitrant dans votre poste, il usurpe votre identité pour prendre la main dans vos échanges de mails (avec votre famille, vos amis, vos collègues) en répondant simplement aux mails reçu par la victime.

Dans ce type de e-mail l’en-tête “Re :” est respectée. Par conséquent le nom et adresse mail de l’expéditeur le sont également. De ce fait, rien n’indique à vos correspondants qu’ils se trouvent face à des attaquants.

En revanche dans les SMS, Emotet se fait passer pour votre banque en vous invitant à cliquer sur un lien vous redirigeant vers un site frauduleux dont l’interface serait similaire à celle de votre banque, mais il n’en est rien. L’hameçonneur cherchera simplement à voler vos données personnelles.

Comment agit Emotet ?

La combinaison du spear-phishing et d’Emotet s’avère donc explosive !
Par exemple, vous recevez un e-mail avec une pièce jointe de type Word.
Pour effectuer son exécution, votre système vous demande de désactiver son mode protégé afin de déclencher les macros.
Ce qui amène Emotet (contenu dans le fichier Word) à être téléchargé depuis un site malveillant.
A la suite, Emotet télécharge à son tour TrickBot qui va exploiter les faiblesses du SMB, pour à la suite déverser un rançongiciel tel que Ryuk.

Emotet peut également récupérer toutes vos données ainsi que celles de votre réseau. Comment ? A partir d’EternalBlue qui utilise une faille de sécurité présente dans le protocole SMB de Microsoft. “Protocole permettant le partage de ressources sur des réseaux locaux avec des PC sous Windows”. (Wikipédia) C’est également comme cela que WannaCry et NotPetya se propagent.

“Ces courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires.” (CERT-FR ANSSI)

Sa capacité à se répliquer comme les cyberattaques de type vers, lui permettent d’infecter un réseau poste par poste sans intervention humaine.

“Le module de spam d’Emotet serait donc les abeilles qui propagent le pollen de fleur en fleur.” (Malwarebytes Labs)

Quel est le passé d’Emotet ?

De 2014 à 2017 Emotet était utilisé comme cheval de Troie bancaire, puis comme rançongiciel. Il fait sa réapparition en juillet 2020, par des campagnes de hameçonnage en détournant les fils de conversation des e-mails. Les envois de cette campagne de spam sont massifs.

Quelles sont les cibles d’Emotet ?

Emotet peut toucher n’importe qui. Il n’a pas de cible fixe. Son aptitude à comprendre et à diffuser d’autres virus informatiques lui permet d’attaquer n’importe qui, n’importe où, sous différentes formes. Ce ne sont pas seulement les grandes entités qui peuvent être touchées, les particuliers aussi.
Il s’attaque notamment aux institutions françaises. On soupçonne qu’il soit à l’origine de la cyberattaque du Tribunal de Paris et de celle du ministère de l’Intérieur. C’est également le cas de la ville d’Orléans attaquée de manière soutenue par Emotet.
Néanmoins les attaques d’Emotet se propagent partout dans le Monde. Comme à l’Université de Fribourg par exemple, celle de Giessen, mais aussi des villes de Francfort et de Bad Homburg.

Comment se protéger d’Emotet ?

En amont

Pour se protéger d’Emotet il vous suffit de prendre garde à quelques éléments, par exemple :

    • Maintenez vos ordinateurs à jour de sorte à ce que les systèmes soient moins facile à pirater.
    • Ne cliquez jamais sur les liens et pièces jointes qui ne vous semblent pas sûrs. Indice : si lorsque vous passez votre souris au dessus du lien SANS CLIQUER, une série de caractères alphanumériques apparaît. Cela doit vous alerter. Ne vous y fiez pas. Ils sont très probablement corrompus.
    • Prêtez une attention toute particulière à votre protection en générant des mots de passe robustes pour toute votre organisation.
    • Au moindre doute, demandez confirmation à votre interlocuteur initial de son envoi de mail, si celui-ci vous semble suspect, par voie téléphonique ou face à face par exemple.
    • Veillez à ce que votre organisation soit dotée d’antivirus, d’anti-spam tout comme de pare-feu. Ces solutions techniques vous protégeront (en partie) lors de vos navigations sur internet.
  • Combinez vos solutions techniques par des solutions organisationnelles : n’hésitez pas à former et sensibiliser vos utilisateurs. Inculquez leur les bons gestes à adopter face aux cyber menaces. Avant de Cliquer forme vos employés sur la durée, afin d’adopter le bon comportement sur son poste informatique.

 

En aval

Si vous pensez que votre organisation/ poste de travail est la cible du malware Emotet, voici les bons gestes à appliquer :

    • Déconnectez votre ordinateur du réseau instantanément, de sorte à ce que le virus ne propage pas dans l’ensemble de votre réseau.
    • Nettoyez les postes infectés ainsi que le réseau qui le sera aussi.
  • Si un rançongiciel à été téléchargé, une fois votre poste nettoyé, vous pourrez réinstaller vos données si vous disposez de sauvegardes externes. Le cas échéant, il est fort à parier que vous ne retrouverez jamais vos fichiers.