Ces dernières semaines, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a observé différentes vagues d’e-mails malveillants avec des documents Word en pièce jointe.
En quoi consiste Emotet ?
Ces vagues contiennent le maliciel Emotet, connu depuis longtemps et se faisant aussi appeler Heodo. Ce maliciel était originellement un cheval de Troie ciblant le “e-banking”. Actuellement, Emotet est utilisé pour envoyer du spam mais aussi pour télécharger des maliciels supplémentaires. Emotet recourt à de l’ingénierie sociale. Il cherche ainsi à inciter le destinataire à ouvrir des documents Word et activer les macros. Pour cela, il utilise des e-mails falsifiés au nom de collègues, partenaires commerciaux ou connaissances.
La semaine dernière, l’Office fédéral allemand en matière de technologies de l’information (BSI), a publié une alerte au sujet d’Emotet. Celui-ci télécharge en particulier le cheval de Troie bancaire “Trickbot” et se propage à la manière d’un ver dans les réseaux d’entreprises à travers la faille connue du protocole SMB “EternalBlue”.
Selon les informations à disposition de MELANI, le maliciel Emotet est également activement utilisé pour infecter les postes de travail et les réseaux d’entreprises. Il emploie à cette fin un rançongiciel (ransomware) nommé “Ryuk”. Ce dernier chiffre les données stockées sur les postes de travail et les serveurs des entreprises victimes. Il demande ensuite une rançon importante (200 000 CHF et plus). Ce maliciel ne touche que les ordinateurs et les serveurs qui utilisent le système d’exploitation Windows. Au vu de sa capacité à se déplacer comme un ver, il existe un risque accru que le cheval de Troie se propage au sein des réseaux d’entreprises et inflige des dégâts importants.
Recommandations de MELANI
MELANI rappelle les recommandations suivantes:
- Veillez à effectuer des sauvegardes régulières de vos données importantes sur un support externe (par ex. un disque dur externe). Celui-ci sera en connexion avec l’ordinateur uniquement lors de la sauvegarde des données. Sinon, le risque existe qu’un ransomware chiffre les données de sauvegarde.
- Il convient de toujours garder à jour son système d’exploitation et toutes les applications (par ex. Adobe Reader, Adobe Flash, Oracle Java, etc.) installées sur sa machine, de manière automatique lorsque cela est possible.
- La segmentation du réseau (séparation des réseaux clients/serveur/Domain-Controller tout comme les réseaux de production industriels avec une administration isolée) selon les différentes zones de confiance, d’application et/ou de région.
- Respecter le principe de moindre privilège (“least privilege”) notamment sur les serveurs de fichier. En effet, aucun utilisateur ne devrait avoir accès à toutes les données, si ces accès ne sont pas nécessaires.
- Utiliser des appareils sans accès ou avec un accès limité à internet pour la gestion des systèmes et les paiements.
Sur la base des dangers actuels que peuvent poser les macros Office, MELANI recommande aux entreprises et infrastructures critiques les mesures supplémentaires suivantes:
- Bloquer par des moyens techniques l’exécution de macros Office non-signées
- Bloquer par des moyens techniques la réception de documents Office contenant des macros. Cela peut s’effectuer sur le Gateway e-mail ou en appliquant un filtre spam.
Pour prévenir une infection par Emotet, tout comme le téléchargement de maliciels supplémentaires, MELANI recommande de bloquer les pages Internet qui sont utilisées pour propager le maliciel, au niveau du périmètre du réseau comme par exemple sur le Web-Proxy ou le serveur DNS.
Par ailleurs, MELANI recommande de bloquer les communications avec les serveurs utilisés pour administrer les machines infectées par Emotet (serveurs de commande et de contrôle).
Source : MELANI
