Cheval de Troie Emotet

Accueil - Entreprises - Cheval de Troie Emotet

Emotet est un virus qui s’accapare de votre ordinateur pour envoyer des spams et infecter d’autres machines.

S’inscrire à la newsletter

En quoi consiste Emotet ?

Ces vagues contiennent le maliciel Emotet, connu depuis longtemps. Il se fait aussi appeler Heodo. Ce maliciel était au départ un cheval de Troie qui ciblait le “e-banking”. Ces derniers temps, Emotet est utilisé pour envoyer du spam mais aussi pour télécharger des virus.

Emotet recourt à de l’ingénierie sociale. Il cherche ainsi à inciter le·a destinataire à ouvrir des documents Word et à en activer les macros. Pour cela, il utilise des e-mails falsifiés au nom de collègues, partenaires commerciaux·ales ou connaissances.

L’Office fédéral allemand en matière de technologies de l’information (BSI), a publié une alerte au sujet d’Emotet. Celui-ci télécharge en particulier le cheval de Troie bancaire “Trickbot” et se propage à la manière d’un ver dans les réseaux d’entreprises à travers la faille connue du protocole SMB “EternalBlue”.

Selon les informations à disposition du Centre national pour la cybersécurité (NCSC), le maliciel Emotet est aussi souvent utilisé pour infecter les postes de travail et les réseaux d’entreprises. Il utilise à cette fin un rançongiciel (ransomware), “Ryuk”. Ce virus chiffre les données stockées sur les postes de travail et les serveurs des entreprises victimes. Il demande ensuite une forte rançon (200 000 CHF et plus).

Emotet ne touche que les ordinateurs et les serveurs qui utilisent le système d’exploitation Windows. Au vu de sa capacité à se déplacer comme un ver, il existe un risque accru que le cheval de Troie se propage au sein des réseaux d’entreprises et cause des dégâts importants.

Les recommandations générales du NCSC

Le Centre national pour la cybersécurité (NCSC) rappelle les recommandations suivantes :

  • Veillez à effectuer des sauvegardes régulières de vos données importantes sur un support externe (par ex. un disque dur externe). Celui-ci sera en connexion avec l’ordinateur seulement lors de la sauvegarde des données. Sinon, le risque existe qu’un ransomware chiffre les données de sauvegarde.
  • Il est important de toujours garder à jour son système d’exploitation et toutes les applications (par ex. Adobe Reader, Adobe Flash, Oracle Java, etc.) installées sur sa machine, de manière automatique lorsque cela est possible.
  • La segmentation du réseau (séparation des réseaux clients/serveur/Domain-Controller tout comme les réseaux de production industriels avec une administration isolée) selon les différentes zones de confiance, d’application et/ou de région.
  • Respecter le principe de moindre privilège (“least privilege”) entre autre sur les serveurs de fichier. En effet, aucun·e utilisateur·rice ne devrait avoir accès à toutes les données, si ces accès ne sont pas nécessaires.
  • Utiliser des appareils sans accès ou avec un accès limité à internet pour la gestion des systèmes et les paiements.

Les recommandations spécifiques du NCSC

Sur la base des dangers actuels que peuvent poser les macros Office, le NCSC recommande aux entreprises et infrastructures critiques les mesures supplémentaires suivantes:

  • Bloquer par des moyens techniques l’exécution de macros Office non-signées
  • Bloquer par des moyens techniques la réception de documents Office contenant des macros. Cela peut s’effectuer sur le Gateway e-mail ou en appliquant un filtre spam.

Pour prévenir une infection par Emotet, tout comme le téléchargement de maliciels supplémentaires, le NCSC recommande de bloquer les pages Internet qui sont utilisées pour propager le maliciel, au niveau du périmètre du réseau comme par exemple sur le Web-Proxy ou le serveur DNS.

Par ailleurs, le NCSC recommande de bloquer les communications avec les serveurs utilisés pour administrer les machines infectées par Emotet (serveurs de commande et de contrôle).

Source : NCSC

Sujets en lien