Emotet s'impose comme leader des Malwares-as-a-Service

Version imprimable, PDF et e-mail

L'essor rapide de la cybercriminalité résulte en partie de l'élaboration de modèles économiques évolutifs par les criminels situés au sommet de la hiérarchie. Cela permet aux groupes de pirates expérimentés de collaborer et aux criminels en herbe de profiter des ressources des plus anciens. Le « crime-as-a-service » n'est pas nouveau, ce sont les outils qui changent rapidement, les développeurs de crimewares (logiciels criminels) cherchant à exploiter les dernières vulnérabilités et à garder une longueur d'avance sur les mesures de sécurité en vigueur. Le trojan bancaire Emotet s'est imposé dans la prestation de services de diffusion de malwares à d'autres groupes de pirates, une menace dont il est impératif de comprendre le fonctionnement et la manière de s'en protéger.

L'évolution d'Emotet

Les attaques bancaires sont parfois collectives, mais les trojans bancaires ne fournissent généralement pas de services à des pirates informatiques tiers. Emotet n'a cessé d'évoluer depuis sa découverte en tant que trojan bancaire en 2014. En plus de l'ajout de nouvelles capacités d'évasion et de nouvelles méthodes de diffusion, les développeurs ont perfectionné sa fonction principale consistant à voler des données. Le succès durable de ce malware laisse à penser qu'il est géré par une organisation criminelle hautement au point, ce qui concorde avec les récentes conclusions selon lesquelles le crime organisé est responsable de la majorité des violations de données. Voici les temps forts du parcours d'Emotet :

2014

Emotet apparaît comme malware modulaire, dont le but est de voler les identifiants bancaires et d'exfiltrer les informations sensibles des terminaux individuels. Parmi ses principales aptitudes, on peut citer le contournement de l'authentification multifacteur (MFA) et l'infection d'autres systèmes par son comportement de type ver.

2015

Grâce à l'ajout de nouvelles capacités d'évasion, Emotet peut désormais détecter la présence de machines virtuelles. La fonction de contournement de la MFA est améliorée et de nouvelles fonctions bancaires sont ajoutées pour permettre à Emotet de transférer des fonds entre la victime et le pirate informatique.

2017

Des rapports indiquent qu'Emotet s'attaque à de nombreux secteurs autres que celui de la banque. Parmi les nouveautés figurent de nouvelles techniques anti-analyse et l'ajout d'un composant de l'API Windows rendant sa détection plus difficile. 

2018

Les développeurs d'Emotet le rendent capable de voler le contenu des e-mails et des listes de contacts, de se propager pour infecter des systèmes protégés et de diffuser d'autres malwares. 

Emotet se connecte à un serveur de commande et de contrôle (C2) afin que les machines infectées intègrent son propre botnet. Notez que le terme « Emotet » désigne à la fois le malware et l'organisation criminelle qui le développe et contrôle ces serveurs. Le groupe Emotet utilise les serveurs C2 pour installer de nouveaux malwares, contrôler les machines infectées à distance et transmettre les informations volées au pirate informatique. L'infrastructure d'Emotet permet à d'autres groupes de pirates d'acheter l'accès aux machines infectées par Emotet. On parle donc ici de malware-as-a-service (MaaS), dont la finalité est de diffuser des malwares tiers.

Emotet aujourd'hui

Emotet recourt à l'usurpation de marque et au spear phishing pour faire croire aux victimes qu'un e-mail provient d'une source fiable. Or l'e-mail contient soit une pièce jointe malveillante, soit un lien vers un site Web compromis. Le fait d'ouvrir la pièce jointe ou de cliquer sur le lien entraîne le téléchargement d'Emotet sur l'ordinateur de la victime. Une fois l'attaque lancée, Emotet essaie de se propager latéralement sur le réseau au moyen des connexions filaires et non filaires.   

Le ministère américain de la sécurité intérieure a publié une alerte sur cette menace précisant les modalités de l'attaque et avertissant le public,

« Emotet demeure l'un des malwares les plus coûteux et les plus destructeurs pour les collectivités étatiques, locales, tribales et territoriales (SLTT). Ses fonctions de type ver entraînent une propagation rapide des infections à l'ensemble du réseau, ce qui les rend difficiles à combattre. Les infections par Emotet ont coûté à ces collectivités jusqu'à 1 million de dollars par incident. »

En cas de réussite, une attaque Emotet peut exposer vos informations sensibles, interrompre vos activités et nuire à votre réputation. Les coûts d'interruption et de reprise peuvent être dévastateurs. Allentown (Pennsylvanie) a dépensé 1 million de dollars pour se remettre d'une attaque Emotet en 2018. Parmi les autres victimes notables figurent une grande bibliothèque publique et la ville de Quincy (Massachusetts)

Protégez-vous

Étant donné qu'Emotet possède plusieurs cordes à son arc, il est nécessaire de vous armer d'une sécurité multicouche pour défendre totalement votre réseau. Voici quelques conseils pour vous aider à démarrer :

Pour tout savoir sur comment protéger votre réseau contre les menaces telles qu'Emotet, rendez-vous sur fr.blog.barracuda.com

Obtenez votre exemplaire de l'e-book maintenant

 

Remonter en haut de page
Tweeter
Partager
Partager