Cybersécurité

Le malware Emotet est de retour et cause des migraines aux DSI

| mise à jour

Les bureaux suisse et allemand de surveillance des TIC s'inquiètent d’une recrudescence de l’activité du cheval de Troie Emotet. Malware à tiroir visant historiquement les utilisateurs de e-banking, Emotet cible désormais les employés des entreprises à travers des emails contenant un document Word dont les Macros installent ver et ransomware.

Beware of Greeks bearing gifts (Copie d'après Henri Motte)
Beware of Greeks bearing gifts (Copie d'après Henri Motte)

La centrale suisse d’enregistrement et d’analyse pour la sûreté de l'information (MELANI) a constaté un retour du cheval de Troie Emotet dans des campagnes d’emailing visant les entreprises. «Emotet recourt à de l'ingénierie sociale», explique l’organe de la Confédération dans un communiqué. Ce qui signifie qu’il falsifie le nom de l’émetteur de l’email pour que son destinataire pense qu’il provient d’un collègue, d’un client, d’un fournisseur… et qu’il ouvre en toute confiance. En pièce-jointe de cet email, un document Word contenant des macros capables d’envoyer du spam ou de télécharger et installer d’autres logiciels malveillants.

Cheval de Troie et ransomware

L’équivalent allemand de MELANI, le BSI (office fédéral allemand en matière de technologies de l'information), a ainsi alerté les entreprises d’une campagne en cours utilisant Emotet pour que les employés téléchargent et installent le cheval de Troie Trickbot. Celui-ci affecte ensuite les réseaux d’entreprise en s'immisçant dans la faille EternalBlue du protocole SMB (Server Message Block), qui permet le partage de ressources sur des réseaux locaux. Selon MELANI, Emotet serait également «utilisé pour infecter les postes de travail et les réseaux d'entreprises avec un rançongiciel nommé Ryuk.» Visant les ordinateurs sous Windows, ce ransomware chiffre les données stockées sur les postes de travail et les serveurs et promet de les libérer contre le versement de CHF 200’000, voire

davantage.

Pour limiter au maximum le risque d’infection, l’agence suisse de lutte contre le risque cyber invite les DSI à sauvegarder régulièrement les données sur des disques qui ne seront connectés à l’ordinateur que durant le temps de la sauvegarde, mettre à jour toutes les applications, segmenter le réseau et respecter le principe du moindre privilège mais aussi limiter l’accès à internet des appareils en charge de la gestion des systèmes et des paiements. Étant donné le rôle que jouent les documents Office dans cette menace, Melani invite aussi les responsable informatiques à bloquer l’exécution de macros Office non signées ainsi que la réception de documents Office contenant des macros sur le Gateway e-mail.

Webcode
DPF8_119745