Dans les cercles de cybersécurité, Emotet est un exemple de malware parmi les plus connus et tristement célèbres observés ces dernières années. Si vous ne connaissez pas le malware Emotet, il se peut que chercher à mieux appréhender les risques qu’il représente et comprendre comment s’en protéger soit l’une des meilleures initiatives que vous puissiez prendre.
Description du malware Emotet
Emotet est un type spécifique de malware créé par des cybercriminels. La première détection de ce malware a eu lieu en 2014 lors d’une cyberattaque contre des banques en Allemagne et en Autriche. Le malware Emotet a attiré l’attention du monde entier vers la fin des années 2010 grâce à plusieurs attaques réussies et très médiatisées.
Emotet est un type de malware atypique car il évolue constamment et reste actif. Habituellement, lorsque des malwares sont identifiés et qu’une technologie est développée pour les bloquer, les cybercriminels créent un nouveau type de malware auquel on attribuera un nouveau nom.
Les cybercriminels déploient généralement le malware Emotet via des emails de spam. Un moyen typique de cibler les utilisateurs consiste à envoyer un document avec un titre standard, tel que « facture.doc », que de nombreuses personnes considèrent comme une pièce jointe légitime lorsqu’ils le reçoivent. Cependant, une fois que le destinataire ouvre la pièce jointe, le malware Emotet se télécharge alors sur son système via des macros présentes dans le document en question et passe à l’action.
Les emails générés par le malware Emotet incluent souvent des liens malveillants avec des termes courants à cliquer tels que « Détails du paiement » intégrés au contenu envoyé.
De nombreuses attaques Emotet donnent l’impression que l’email que vous recevez provient d’une marque qui vous est familière, contribuant ainsi, au fil des ans, au succès de nombreuses attaques.
D’autres facteurs qui rendent ce type de malware si dangereux sont le fait qu’il puisse rester sur les systèmes et fonctionner sans être détecté et propager ainsi différents types de malware au sein de votre système. Si vous identifiez le malware Emotet et le supprimez de votre système, vous devrez sans doute encore effectuer des opérations supplémentaires pour supprimer d’autres malwares associés.
L’évolution du malware Emotet ces dernières années
À ce jour, le malware Emotet continue d’évoluer et possède bien plus de capacités qu’en 2014.
- La première version du malware Emotet a été créée pour intercepter le trafic Internet afin de voler des coordonnées bancaires.
- La deuxième version en 2014 comprenait des modules pour cibler automatiquement les banques allemandes et autrichiennes. Emotet a également hébergé un système de transfert d’argent qui a rapidement permis de nombreuses fraudes avant que les systèmes de sécurité ne le remarquent.
- • Une mise à jour de 2015 intégrait des fonctionnalités furtives supplémentaires qui cachaient Emotet à la vue de la plupart des programmes antivirus. Il a également commencé à cibler les banques suisses.
Ces premières versions du malware Emotet étaient des chevaux de Troie, qui cherchaient principalement à voler des identifiants bancaires et à effectuer des transferts d’argent illicites.
2018 et les années suivantes
En 2018, Emotet est passé d’un malware de type cheval de Troie traditionnel à ce qu’on appelle un « dropper ». Cette évolution signifie que le malware Emotet, tout en infectant lui-même les systèmes, délivre et télécharge également d’autres chevaux de Troie et ransomwares sur les systèmes informatiques concernés. Par conséquent, une attaque Emotet pourrait conduire à la fois au vol de données sans que quiconque ne s’en aperçoive et à une attaque de ransomware visant une personne, une entreprise ou une organisation quelle qu’elle soit. Nous pensons qu’une telle attaque est rendue possible par les créateurs d’Emotet qui proposent leur logiciel à d’autres cybercriminels sous forme de « leasing ». Ces derniers paient pour le malware afin que celui-ci les aide à accéder aux données et à conserver 100% des bénéfices de leur ransomware ou de tout autre malware.
En 2019, le malware Emotet était utilisé comme botnets pour cibler un plus grand nombre de personnes et d’entreprises, en particulier des banques dans toute l’Europe et aux États-Unis.
En 2020, le malware Emotet a continué d’être actif, avec des campagnes détectées tout au long de l’année. En fin d’année, le malware était distribué à partir d’environ 50000 domaines parqués. Ces derniers sont des domaines nouvellement enregistrés et immédiatement parqués ou bien des domaines existants et en règle mais que le propriétaire précédent n’a pas choisi de renouveler.
Les cinq attaques de malware célèbres utilisant Emotet
Le malware Emotet a été à l’origine de plusieurs cyberattaques très lucratives ces dernières années. Nous vous présentons ci-dessous cinq des plus importantes :
- Une attaque en février 2018 contre l’autorité locale d’Allentown, en Pennsylvanie, au cours de laquelle les systèmes informatiques ont été infiltrés. Bien que rien n’ait été dépensé pour le paiement d’une rançon, les coûts globaux de réparation et de mitigation des dommages causés par cette attaque ont représenté plus d’un million de dollars.
- Une attaque de juillet 2019 contre la ville de Lake City, en Floride, a causé des pertes de l’ordre de 460 000$ dues essentiellement au paiement d’une rançon.
- Une attaque en mai 2019 contre Heise Group, une maison d’édition basée en Allemagne. Cette attaque a été causée par un employé qui a ouvert une pièce jointe qui semblait légitime. Toutefois, nous ne savons pas quels dommages financiers, le cas échéant, ont été subis.
- Une attaque en août 2020 contre le ministère de la Justice du Québec, au Canada. Alors que le ministère de la Justice a déclaré qu’aucune donnée n’avait été volée ou qu’aucune perte financière n’avait été subie, le ministère a été vivement critiqué pour sa lenteur face à ce problème. En décembre 2020, le département reste encore accusé de ne pas avoir pleinement apprécié la gravité de l’attaque.
- Tout au long du mois de septembre 2020, les agences gouvernementales à travers l’Europe ont signalé une augmentation de l’activité du malware Emotet ainsi que des tentatives de fraude. Toutefois, nous ne savons pas dans quelle mesure ces attaques ont réussi.
Malware Emotet : propagation et difficulté de détection
Le malware Emotet se propage généralement à travers les systèmes de messagerie en détournant des comptes et en envoyant des emails malveillants.
Une fois que le malware est dans votre système, il analyse votre boîte de réception ainsi que votre liste de contacts email. Il peut alors répondre à des emails authentiques avec des pièces jointes ou des liens malveillants. C’est un autre facteur qui rend le malware Emotet plus dangereux que les emails de phishing traditionnels, lesquels sont souvent faciles à repérer car ils sont envoyés au hasard à partir d’une source inconnue.
Au fur et à mesure que les personnes de votre liste de contacts reçoivent ce qui ressemble à une réponse authentique, par exemple un retour suite à un email qu’elles ont réellement envoyé, elles sont plus susceptibles de l’ouvrir et de cliquer sur la pièce jointe ou le lien en question. Si elles le font, le malware pourra alors infecter leur système, voler des données, installer d’autres malwares et répéter le processus avec le compte de messagerie de la personne concernée.
Le malware Emotet est difficile à détecter en raison de la manière avec laquelle il a été développé, qui l’aide à contourner la plupart des produits antivirus. Un virus traditionnel utilise la même « signature » de code à chaque fois qu’il tente de pénétrer au sein de votre système. Par conséquent, tant que votre logiciel antivirus sait quelle signature rechercher, il peut bloquer ces virus.
En revanche, le malware Emotet est ce que l’on appelle un virus polymorphe. Cette particularité signifie que la « signature » du malware change au niveau de chaque machine sur laquelle il s’installe, empêchant ainsi le logiciel antivirus de le détecter. Le malware Emotet détecte également quand il s’exécute au niveau d’une machine virtuelle et peut ainsi passer en mode automatique pour rester inactif jusqu’à ce qu’il puisse agir efficacement.
Comment se protéger contre le malware Emotet ?
Le moyen le plus efficace pour se protéger contre ce malware est de trouver une solution SIEM qui pourra vous aider à identifier et à mettre en quarantaine les emails Emotet ainsi que ceux contenant des malwares associés tels que le ransomware Ryuk. Une solution SIEM telle que LogPoint peut véritablement vous aider à détecter le malware Emotet et vous apporter un niveau de sécurité supplémentaire concernant vos emails professionnels.
En plus de choisir un logiciel qui vous aidera à bloquer les attaques lancées par le malware Emotet et à surveiller en permanence vos réseaux internes, vous devez également :
- Désactiver l’utilisation des macros dans les fichiers Microsoft Office.
- Installer immédiatement toutes les mises à jour de sécurité lorsqu’elles sont disponibles pour le logiciel que vous utilisez.
- Effectuer des sauvegardes régulières de toutes les données et les stocker en toute sécurité dans un emplacement différent des fichiers maîtres.
- Créer une culture de diligence au sein de votre entreprise. Si vos employés prennent l’habitude de se méfier des pièces jointes qu’ils ouvrent, ou bien si vous utilisez un logiciel Cloud rendant les pièces jointes obsolètes, vous réduirez presque à zéro les risques que vous soyez victime du malware Emotet. Assurez-vous enfin que votre équipe ne se réfugie pas derrière l’utilisation de logiciels de sécurité avec un faux sentiment de sécurité !
Si vous pensez avoir été infecté par le malware Emotet, procédez comme suit :
- Supprimez les systèmes potentiellement infectés au sein de votre réseau.
- Vérifiez le système et supprimez le malware si vous êtes en mesure de confirmer sa présence. Il peut être nécessaire d’effacer et de réinstaller le système.
- Recherchez d’autres ransomwares et malwares qui pourraient avoir été installés par Emotet. Si ces derniers sont présents, vous devez également les supprimer.
- Vérifiez et nettoyez tous les autres systèmes de votre réseau, les uns après les autres. N’oubliez pas que le malware Emotet peut rester inactif sur vos systèmes. Vous devez donc consacrer le temps nécessaire pour vous assurer que vous ne rencontrez pas de nouveaux problèmes immédiats alors que vous pensiez vous être définitivement débarrassé du malware.
- Une fois que vous pouvez confirmer que le malware n’est plus présent sur votre réseau, réintégrez le système sur lequel vous avez identifié l’infection initiale.