Souvent désigné comme « le malware le plus dangereux au monde », EMOTET est un cheval de Troie. Il se présente comme un malware autonome ou comme un mécanisme de déploiement de charges supplémentaires sur la machine visée. Découvert en 2014 par TrendMicro, il cherchait initialement à se propager sur des systèmes en vue de voler des informations privées. Depuis le malware s’est modifié en profondeur avec un arsenal renforcé. Par exemple, de nouvelles variantes communiquent avec un serveur central pour télécharger d’autres malwares ou de nouvelles versions. Aujourd’hui, EMOTET se propage très facilement via des e-mails de phishing, qui contiennent un document Office malveillant et dont l’objet est fort accrocheur. Si l’utilisateur ouvre la pièce jointe, une macro exécutant un script PowerShell se lance dans le document Office et le malware est téléchargé sur le système.

Le nombre d’infections par malware a nettement augmenté à l’été 2020. Et, sept ans après sa découverte, c’est surtout la propagation d’EMOTET qui inquiète. Voici donc quelques suggestions pour protéger les entreprises du malware et d’autres menaces comparables.

Comment protéger une entreprise d’EMOTET et d’attaques qui s’en inspirent ?

Les attaques de phishing demeurent florissantes du fait du manque de sensibilisation et de la persistance de pratiques de cyber hygiène largement perfectibles. Mais il existe un certain nombre de mesures qui permettent de limiter les potentiels dégâts des attaques EMOTET. Examinons ensemble quelques bonnes pratiques de sécurité :

1/ Toujours réfléchir avant de cliquer. Cela paraît simple, mais suivre ce conseil permet de limiter grandement les infections. Il faut toujours se demander si ce sur quoi on s’apprête à cliquer mérite notre confiance !

2/ Former ses équipes. Former ses administrateurs IT aux pratiques de sécurité ciblées, mais aussi d’autres utilisateurs pour les sensibiliser aux risques auxquels s’expose l’entreprise.

3/ Procéder systématiquement aux mises à jour ! Chaque jour ou presque, la mise à jour d’une application est suggérée. Il y a une bonne raison à cela. La raison peut être le renforcement de la sécurité des applications installées ou la correction d’une vulnérabilité découverte récemment.

4/ S’assurer que les mesures de sécurité élémentaires sont en place. Antivirus, anti-spyware, pare-feu, solutions PAM (privileged access management), etc. Sans ces barrages essentiels, les cybercriminels n’auront pas besoin de perpétrer des attaques sophistiquées pour atteindre l’entreprise.

5/ Chercher systématiquement à réduire sa surface d’attaque et son exposition aux menaces. Un utilisateur qui aurait plus de privilèges que nécessaire ouvre la voie à un malware qui pourra s’infiltrer facilement et se propager sur le réseau. Supprimer les privilèges superflus aide à réduire les surfaces d’attaque et limite également les mouvements latéraux sur le réseau.

Malgré les efforts conjoints d’Europol et d’Eurojust pour l’arrêter, des variants d’EMOTET et d’autres malwares qui copient ses techniques circulent encore. Telles que les techniques MITRE T1047 et T1059.001, des attaques WMI et PowerShell qui appliquent deux techniques couramment employées par EMOTET. Si le malware a enfin commencé à reculer depuis janvier 2021, du fait de son fort potentiel dévastateur, il mérite encore toute notre attention.
___________________

Par William Culbert, Directeur EMEA Sud de BeyondTrust