Le malware Emotet, que l’on pensait avoir été déjoué en début d’année, est de nouveau en circulation. Nous avons résumé les questions et réponses les plus importantes concernant le retour d’Emotet pour vous et allons au cœur de la manière dont vous pouvez vous protéger contre ce malware.
Que s’est-il passé ?
Le 15 novembre, le monde de la cybersécurité a été bouleversé par la nouvelle que le célèbre malware Emotet circulait à nouveau environ six mois après sa destruction. Par le passé, Emotet était considéré comme le malware le plus répandu, se propageant principalement via des campagnes de spam et des pièces jointes infectées des emails de phishing.
Qu’est-ce qu’Emotetet exactement ?
Aussi récemment que l’année dernière, ce malware notoire dominait le « Global Threat Index 2020 » comme le malware le plus dangereux. Le malware est apparu pour la première fois en juin 2014 et a principalement été utilisé pour attaquer le secteur bancaire.
Ce qui est perfide avec Emotet, c’est que ce malware agit souvent comme un ouvreur de porte pour l’installation de nouveaux malwares. Le logiciel est non seulement capable d’accéder non autorisé aux données, mais est principalement utilisé comme téléchargeur pour d’autres variantes de malwares telles que TrickBot et IcedID. Initialement utilisé comme cheval de Troie bancaire (espionnage des données d’accès pour la banque en ligne), Emotet a récemment servi davantage de propagateur d’autres logiciels malveillants. Le programme utilisait diverses méthodes et techniques d’évasion pour rester opérationnel et indétecté.
Pourquoi Emotet a-t-il été considéré comme vaincu ?
Au début de l’année, les forces de l’ordre allemandes, entre autres, ont annoncé la destruction du réseau Emotet : l’infrastructure du malware a été détruite, les serveurs confisqués. Seules des mises à jour inoffensives ont été effectuées jusqu’au déploiement d’un module Emotet le 25 avril 2021, qui a complètement supprimé le malware des systèmes infectés.
Quel est le statut actuel ?
Les cerveaux d’Emotet ont maintenant commencé à reprendre leurs opérations. Des systèmes déjà infectés par TrickBot ont commencé à installer de nouveaux fichiers depuis Internet. Des analyses automatisées et manuelles ont révélé que les fichiers étaient de nouvelles variantes d’Emotet. Les nouvelles versions présentent de nombreuses similitudes avec les anciens programmes Emotet, mais le chiffrement et les certificats de communication sécurisée ont été légèrement modifiés.
Quels sont les risques d’Emotet pour mon entreprise ?
Emotet est connu pour ce qu’on appelle le phishing par dynamite. Des emails de phishing trompeusement réels, avec un contenu personnalisé conçu pour tromper les cibles et les inciter à ouvrir des pièces jointes, sont des caractéristiques des campagnes Emotet. Les e-mails de phishing sont tellement bien camouflés qu’ils imitent parfois des collègues ou des partenaires commerciaux comme des expéditeurs. Il est particulièrement délicat que les messages passés des personnes ciblées soient cités dans les emails de phishing. Les emails Emotet peuvent ainsi être perçus par les destinataires comme une réponse aux emails précédemment envoyés.
Le BSI met déjà en garde contre les campagnes de phishing à grande échelle, comme elles ont déjà été observées l’année dernière. Les entreprises et les autorités sont à haut risque, notamment en raison de l’installation supplémentaire de nouveaux logiciels malveillants par Emotet.
Attention ! L’envoi des emails de spam Emotet a déjà commencé. Actuellement, le malware est distribué aux victimes potentielles sous forme de *.docm et *.xlsm ainsi que de pièces jointes ZIP protégées par mot de passe.
Que puis-je faire ?
La liste des adresses IP est disponible ici : https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt. Veuillez noter qu’une extrême prudence est requise lors de la manipulation de ces adresses IP. Si vous ne savez pas quoi faire de ces adresses, contactez notre équipe. Nous sommes heureux de vous soutenir.
