Internet: gare au cheval de Troie Emotet!

  • Dernière modification de la publication :12/12/2018
  • Commentaires de la publication :6 commentaires
Emotet: le processus d'infection.
Emotet: le processus d’infection.

Nouvelle menace de taille dans le monde numérique. Ces dernières semaines, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a observé différentes vagues d’e-mails malveillants comprenant des documents Word infectés en pièce jointe. Les pirates tentent d’installer le maliciel Emotet, aussi connu sous le nom de Heodo.

Visiblement, ce petit programme a été détourné de son but premier. «Ce maliciel était originellement un cheval de Troie ciblant le “e-banking”. Actuellement, Emotet est utilisé pour envoyer du spam mais aussi pour télécharger des maliciels supplémentaires», indique MELANI dans un communiqué de presse diffusé mercredi.

Attention à l’ingénierie sociale!

Ce maliciel est plutôt évolué puisqu’il recourt à de l’ingénierie sociale. A travers des e-mails falsifiés au nom de collègues, partenaires commerciaux ou connaissances, il cherche à inciter le destinataire à ouvrir des documents Word et activer les macros. Il procède ainsi pour télécharger le cheval de Troie «Trickbot» et se propage à la manière d’un ver dans les réseaux d’entreprises à travers la faille connue du protocole SMB «EternalBlue.

“Le maliciel Emotet est également activement utilisé pour infecter les postes de travail et les réseaux d’entreprises avec un rançongiciel (ransomware) nommé ‘Ryuk’. Ce dernier chiffre les données stockées sur les postes de travail et les serveurs des entreprises victimes (sous Windows) et demande une rançon importante (200’000 francs et plus)”, croit savoir le centre de sécurité informatique.

MELANI recommande:

  • Veillez à effectuer des sauvegardes régulières de vos données importantes sur un support externe (p. ex. un disque dur externe), qui sera connecté à l’ordinateur uniquement lors de la sauvegarde des données. Si cette condition n’est pas remplie, le risque existe qu’un ransomware chiffre les données de sauvegarde.
  • Il convient de toujours garder à jour son système d’exploitation et toutes les applications (p. ex. Adobe Reader, Adobe Flash, Oracle Java etc.) installées sur sa machine, de manière automatique lorsque cela est possible
  • La segmentation du réseau (séparation des réseaux clients/serveur/Domain-Controller tout comme les réseaux industriels de production avec une administration isolée) selon les différentes zones de confiance, d’application et/ou de région
  • Le respect du principe de moindre privilège (“least privilege”) notamment sur les serveurs de fichier (aucun utilisateur ne devrait avoir accès à toutes les données, si ces accès ne sont pas nécessaires)
  • Utiliser des appareils dédiés sans accès ou avec un accès limité à Internet pour la gestion des systèmes et les paiements

XS

Cet article a 6 commentaires

  1. Didier

    Les backups du type acronis ou todo backup sur un nas avec un compte ftp dediez suffit egalement. Pensez aussi au cloud avec archive (5-10 versions) style synology ou Dropbox pro. Et pensez aussi à croiser les données avec un autre endroit. Et c est valable pour tous les os.

    Est ce que la version 1 du smb (qui est désactivé sur les nouvelles installation windows 10)?

  2. Idriss

    Dommage que cette alerte de MELANI remonte que maintenant. Cela fait déjà quelques semaines que la vague « passe par la Suisse ».

  3. Tommybee

    Je peux me tromper mais je présume que pour que ça fonctionne il va quand même falloir qu’un server de messagerie achemine le courrier sans vérifier le mx record, ce qui permettra dans ce cas de relayer le courrier d’un server smtp hors domaine de l’émetteur du mail ? Ou alors il suffit que la personne qui ouvre le courrier ne vérifie pas l’adresse email de l’émetteur, plus particulièrement le suffixe DNS et ne se fie qu’à l’alias affiché dans le client email, ce qui soit dit en passant n’a toujours pas été revu par certains fournisseurs de clients de messagerie et qui représente une porte d’entrée facilement exploitable dans les techniques de fishing par email !

  4. rolgui2002

    Comment se fait-il que certains se font encore avoir avec des document joints? Il y a tellement de mises en garde dans la presse, la radio, la télévision, que c’en est navrant. En plus les FAI filtrent et avertissent quand il y a soupçon. Et c’est toujours avec cette Wdaube.

    1. pedro

      Ça arrive encore et cela arrivera toujours. L’humain est la principale faille de l’informatique tant côté développement qu’utilisation.

      Il faut imaginer que votre collègue vous envoie un email avec une pièce jointe et que ce n est pas lui. Voilà pourquoi les gens cliquent tout le monde n’a pas le même niveau en informatique. Et il faut avouer que c’est de mieux en mieux fait et écrit correctement dans la bonne langue.

      Ensuite, tout le monde sait que les SMS sont interceptable mais combien de banque suisse utilise ce système pourtant ?
      Tout le monde sait que votre smartphone vous espionne en permanence mais n’utilisez vous pas d’applications bancaire, ne rentrez vous pas vos mot de passe là dessus, ne synchronisez vous pas vos contacts, emails alors que toutes les applications installées demandent le contrôle totale la dessus et ont un accès internet 24/24h sans même vérifier ces accès ?

      J’ai testé le recorder, c’est impressionnant la taille des fichiers audio. On dirait que c’est fait pour enregistrer tout ce qui se passe…

      Et ensuite vous remarquez qu’en parlant d’un sujet complètement hors actualité, vous retrouvez de la pub lié à ce sujet lors de votre recherche Google ?

    2. DavidL

      Facile d’accuser Windaube quand l’utilisateurs accordent tout les droits nécessaire au virus/macro/cheval de Troie sans rien lire de ce qui est affiché sur leur écran. La frénésie du click est la pire plaie qu’il puisse exister.
      Pour rappel déjà Outlook râle pour ce genre de pièce jointe, il faut donc outrepasser ceci, ensuite il faut désactiver le mode protégé de Word qui lui aussi râle pour ce genre de pièce jointe, ensuite il faut activer le support des macros malgré les avertissements.
      A cela il faut ajouter le fait que l’antivirus laisser passer toute ces étapes, ce qui reste probable si on se protège correctement, même Windoze Defender ferrais l’affaire dans se cas… je me demande donc ce que les gens peuvent bien avoir comme antivirus…
      Mais la aussi on crache sur Windows, du coup on reste avec un antivirus périmé ou qui ne sert à rien (Avast), voir même aucun antivirus. Ici aussi il semble plus facile de cracher sur le grand géant que de voir ses propres fautes.
      Mais bon s’l’a faute de Windoze msieur….

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.