Emotet, focus sur ce malware qui fait des ravages

Co-écrit par Martin Fruit et Bilal Sayah.

“Emotet”, un nom qui résonne depuis déjà quelques années. Il s’agit d’un malware, un logiciel malveillant qui une fois infiltré sur votre poste va dérober des informations de valeur et laisser la porte ouverte à d’autres menaces pouvant être encore plus dévastatrices. Les entreprises font de plus en plus face à cette menace, qui peut s’avérer destructrice pour leurs systèmes d’information, leurs données ainsi que leur image.

Quelles sont les spécificités de ce malware qui le rendent si problématique ? Quels sont les risques et impacts pour une entreprise infectée ? Comment se prémunir face à Emotet ?

De grandes attaques depuis sa création

Apparu pour la première fois en 2014 et correspondant selon l’ANSSI à une version sophistiquée du code malveillant Geodo, il a été jusqu’alors à l’origine d’attaques aux conséquences spectaculaires.

En février 2018, la ville d’Allentown aux États-Unis a été victime d’Emotet. Après avoir infiltré les ordinateurs du gouvernement, le malware a permis de dérober tous les identifiants de connexion et les mots de passe des employés. Les conséquences financières pour cette ville de 120 000 habitants s’élèvent à plus d’un million de dollars entre l’intervention de Microsoft pour limiter les dégâts et les coûts de remédiation.

En mai 2019, c’est la maison d’édition allemande Heise Online qui a été infectée par le malware. En effet, un employé a ouvert un courriel mentionnant une transaction avec un partenaire commercial nécessitant la validation des informations contenues dans le document joint. À l’ouverture du document Word, un faux message d’erreur accepté a permis l’attaque. Les alertes des firewalls ont montré que de nombreuses machines externes liées à Emotet avaient accès au réseau de l’entreprise et les conséquences ont été désastreuses.

Autrement, en septembre 2019, Kammergericht, la plus haute juridiction de Berlin assurant les affaires pénales et civiles ainsi que le département des affaires intérieures du Sénat ont été infectés par le malware Emotet. Par conséquent, plus de 550 ordinateurs ont dû être déconnectés du système de l’État pour limiter les dommages suite à une réponse tardive à l’incident.

Après une période de calme début 2020, Emotet est de retour courant juillet et est à l’origine d’une série d’attaques dans le monde entier. En France, différents acteurs publics et privés ont été ciblés.  Parmi eux le Tribunal de Paris, la municipalité d’Orléans et près de quatorze académies (Tours, Nantes, Rennes, Amiens, Nancy, Strasbourg, Lyon, Grenoble, Montpellier, Toulouse, Aix-Marseille, Versailles, Paris et Créteil), mais aussi plus récemment le groupe Air France KLM et la SSII Humanis.

Emotet a déjà mis hors service le réseau de plusieurs entreprises et les acteurs infectés par celui-ci observent généralement de lourdes conséquences. Par exemple, la préfecture d’Eure-et-Loir est restée paralysée plusieurs jours en juillet 2020 suite à l’infection de ce malware.

La situation sanitaire n’arrange rien…

Bien que le malware Emotet n’ait pas été très actif ce printemps lors de la première vague de la COVID-19, de nombreux acteurs ont profité de cette période exceptionnelle pour effectuer des campagnes de spam et d’attaques. En effet, le déploiement massif du télétravail par les entreprises a augmenté certains risques existants ou engendré de nouveaux risques. De plus, les récents événements ainsi que les alertes d’acteurs tels que Microsoft ou l’ANSSI à propos d’Emotet suggèrent que le malware est bien en place et que la période de pandémie n’a pas amélioré les choses.

Comment se caractérise Emotet ?

Emotet ne touche plus seulement le secteur bancaire de nos jours, mais tout type d’infrastructure : villes, administrations, hôpitaux, universités et entreprises privées sont ciblées.

À l’origine Emotet agissait comme un simple cheval de Troie bancaire, dérobant les identifiants de salariés d’entreprises du secteur bancaire européen grâce à des techniques d’hameçonnage afin de détourner des fonds. Depuis, le malware n’a fait qu’évoluer en gagnant en discrétion et en persistance, jusqu’à devenir un cheval de Troie polymorphe, c’est-à-dire capable d’adopter plusieurs formes et ainsi ne pas être détecté par les antivirus, qui reconnaissent habituellement des signatures virales connues.

Le moyen d’infection le plus répandu est l’exécution de code macro sur un poste utilisateur à travers un document infecté reçu par mail. Ce document peut prendre la forme d’un document Word, d’un PDF ou encore d’une URL renvoyant vers un site compromis.

Une fois la cible compromise, le malware va accéder aux mots de passe enregistrés dans les navigateurs installés, va accéder aux boîtes mail, aux listes de contacts, tout ceci dans le but de se propager sur un réseau interne d’entreprises et d’enrichir sa base de contacts à attaquer par la suite.

Le spam et le phishing sont les meilleurs moyens de toucher le plus de personnes en abusant de leur naïveté ou de leur confiance, et Emotet se diffuse à travers des campagnes massives de mail.

Emotet, ou MaaS

Contrairement aux malwares habituels, Emotet a la capacité de télécharger d’autres programmes malveillants une fois qu’il s’est introduit pour amplifier sa virulence. Il peut notamment propager d’autres chevaux de Troie bancaires, mais surtout laisser l’accès aux postes compromis et au réseau à un ransomware, comme le fameux Ryuk, qui viendra chiffrer toutes les données d’un utilisateur ou d’une entreprise contre une rançon : on parle alors de Malware-as-a-Service (MaaS). Au même titre que les SaaS pour les solutions dans le Cloud, Emotet fournit un accès à ses machines infectées à des cybercriminels pour qu’ils puissent à leur tour exploiter la machine compromise avec leur malware.

Les impacts pour une société infectée

Les impacts pour une entreprise infectée sont multiples et habituellement les estimations des coûts financiers sont compliquées à réaliser puisqu’elles ne se limitent qu’aux informations rendues publiques.

Parmi les impacts financiers liés au SI les plus communs, on recense notamment toutes les mesures incluant les différentes investigations techniques, la mise en conformité réglementaire, la sécurisation des données post-incident et d’une manière plus transverse l’amélioration des dispositifs de cybersécurité.

Les impacts relatifs à l’image de l’entreprise sont multiples et les coûts financiers peuvent être plus ou moins visibles. Tandis que la notification client de l’intrusion et les relations publiques sont aisément quantifiables, la dépréciation de la valeur de marque ainsi que la perte de la confiance client font aussi partie des impacts inhérents d’une attaque.

Plus généralement une entreprise infectée doit aussi gérer les conséquences d’une éventuelle perte de propriété intellectuelle, les impacts liés à la perturbation ou à l’interruption des activités et peut être amenée à subir une érosion du chiffre d’affaires liée à la perte de contrats clients. En plus des honoraires d’avocat et des frais de justice pouvant être nécessaires, l’entreprise peut écoper d’une augmentation des primes d’assurance.

Comment se protéger d’Emotet ?

Il n’y a pas de “solution miracle“ pour se protéger d’Emotet, mais il est cependant possible de se prémunir pour limiter les risques d’infection et diminuer l’impact sur l’entreprise que pourrait avoir une attaque.

  • Mises à jour

Garder son matériel à jour (postes de travail, smartphones, équipements réseau) constitue le premier rempart découlant du bon sens. Des patchs de sécurité sont régulièrement déployés sur les systèmes d’exploitation comme Windows ou macOS, mais également sur les logiciels par lesquels le malware peut se manifester : suite Microsoft Office, Outlook ou encore Adobe Reader.

  • Antivirus

Avoir un antivirus efficace actif sur ses postes et sur son réseau d’entreprise, permet de repérer certaines signatures virales connues pouvant limiter les dommages, bien que la dimension polymorphe d’Emotet rend la tâche des antivirus plus difficile.

  • Authentification forte

Instaurer une politique de mot de passe robuste dans votre entreprise pour rendre les attaques par force brute sur votre réseau émanant du malware plus compliquées (au minimum 12 caractères, mélangeant 3 des 4 types de signes : minuscules, majuscules, chiffres et caractères spéciaux), renouvellement tous les 90 jours, ajouter une authentification multifacteur (MFA) à votre single-sign on (SSO) pour limiter les intrusions.

  • Sauvegardes

Sauvegarder votre système d’information de manière régulière et efficace permet d’être résilient en cas d’infection par Emotet, ou par extension un ransomware. Avoir une sauvegarde de vos données et applications métiers datant de la veille pourrait permettre de ne pas subir de perte de données trop conséquente et impactante pour votre activité.

Le maillon faible, l’Humain

Pour terminer, le meilleur rempart contre cette menace reste la sensibilisation de vos effectifs. Être au fait des menaces actuelles, de leur moyen de propagation, de leur spécificité et des dégâts que ces dernières peuvent causer sur l’activité de votre entreprise permettra aux employés d’être plus vigilants au quotidien. Ils doivent également savoir comment réagir face à un mail ou un site suspicieux, à qui le signaler et que faire s’il est trop tard. À vous ensuite d’isoler le poste de travail infecté pour éviter que la menace ne se propage sur tout le réseau d’entreprise et ne cause encore plus de dégâts.

L’évolution du malware Emotet est très inquiétante, la virulence des impacts de celui-ci tant sur les SI que sur l’image des entreprises en font un des malwares les plus redoutés du moment. Afin de se prémunir, il est nécessaire de se protéger efficacement, mais aussi de se préparer à réagir à de tels incidents.

Beijaflore peut ainsi accompagner vos entreprises dans les différentes démarches de protection que vous souhaitez mettre en place. Fort d’une expertise reconnue et certifiée ISO 27001 sur l’ensemble de ses activités, le cabinet qualifié Prestataire d’Audit de la Sécurité des Systèmes d’Information (PASSI) peut donc intervenir sur les services de réponse à incident, de cartographie des risques cyber et pour la protection de vos SI.