L’Anssi, une des plus hautes autorités françaises sur les questions de cybersécurité, a été contrainte de lancer un bulletin d’alerte le 7 septembre : les opérateurs du botnet [un groupement de programmes informatiques, ndlr] Emotet dirigent leur puissance de frappe contre les administrations et les entreprises françaises.
Emotet lance des campagnes de phishing — il peut envoyer plus de 500 000 emails frauduleux par jour — pour inciter ses cibles à télécharger un cheval de Troie du même nom. Une fois installé sur un ordinateur, le logiciel malveillant est capable d’aspirer des mots de passe, de dérober certains documents, et profitera de vulnérabilités pour se propager automatiquement aux autres appareils du réseau informatique.
Le botnet Emotet est capable d’envoyer 500 000 emails par jour. // Source : Louise Audry pour Numerama
Et ce n’est que le début. Comme son nom l’indique, le cheval de Troie a pour objectif final de déployer une autre attaque, encore plus virulente. Emotet est donc souvent accompagné par TrickBot, un malware connu pour accéder à l’Active Directory, un outil central de Windows, qui permet aux administrateurs de gérer l’organisation du réseau. En ouvrant cette porte, TrickBot permet le déploiement d’un rançongiciel, qui bloquera l’intégralité du système et mettra l’entreprise dans une position très compliquée.
Détecté pour la première fois en 2014, Emotet disparaît puis revient à intervalle régulier. Il est si dangereux que certaines organisations, comme Cryptolaemus, se consacrent à son suivi.
Une alerte liée aux récents incidents ?
Cette alerte de l’Anssi intervient juste après deux vagues d’attaques contre des institutions françaises. Le 5 septembre, le JDD évoquait des cyberattaques réussies contre des magistrats du tribunal de Paris. D’après le généraliste, les malfaiteurs auraient utilisé de « faux courriels » pour piéger leurs victimes et déployer un « cheval de Troie ». Chez certains magistrats, l’attaque a causé des dégâts si importants qu’ils ont dû repousser le traitement d’affaires en cours. Parmi les victimes, le JDD cite Aude Buresi, une juge d’instruction au pôle national financier, chargée d’affaires particulièrement sensibles comme le financement de l’ex-FN ou l’affaire libyenne dans laquelle l’ex-président Nicolas Sarkozy est mentionné.
Au lendemain de cette annonce, c’est un autre lieu de pouvoir, le ministère de l’Intérieur, qui communiquait sur une campagne de phishing personnalisé — aussi appelé spear-phishing — à destination de ses fonctionnaires. Pour la contrer, le ministère filtre les fichiers « .doc », un format notamment utilisé par Emotet pour embarquer son cheval de Troie, de sorte qu’aucun utilisateur ne puisse en ouvrir un.
Le 8 septembre, aucune enquête officielle n’a relié ces deux attaques entre elles ni avec Emotet. Cependant, ZDNet attribue l’attaque du tribunal à Emotet, tandis que Le Mag IT se contente de faire, à juste titre, le rapprochement entre les méthodes rapportées pour ces deux attaques et le mode opératoire des cybercriminels.
Du phishing nourri aux vieux emails
L’attaque contre les magistrats du tribunal de Paris fait écho à une méthode souvent exploitée par Emotet. Lorsqu’une victime télécharge le document Word (.doc) ou PDF infecté en pièce jointe de l’email de phishing, Emotet peut s’emparer des identifiants de sa boîte email. Le logiciel malveillant peut ensuite extraire d’anciens échanges d’emails et les pièces jointes qui y sont liés.
« Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes », détaille l’Anssi.
Emotet usurpe discrètement l’identité de la victime
Les malfaiteurs utilisent ces techniques pour rendre leur phishing bien plus convaincant, et augmenter drastiquement leurs chances de contamination. Ils pourront à la fois viser les clients et les partenaires de leurs victimes. Comme le précise l’Anssi, les malfaiteurs n’envoient pas les emails depuis l’adresse compromise compromise, mais se contentent de l’imiter. Ils peuvent ainsi agir plus discrètement, et répéter les usurpations d’identité sans que leur victime de s’en aperçoive.
Justement, certains juges interrogés par le JDD expliquent qu’ils ont reçu des appels de confrères surpris de recevoir un email de leur part au sujet d’anciennes collaborations. De quoi établir une la corrélation avec l’alerte de l’Anssi sur Emotet.
L’autorité liste dans son bulletin toutes sortes de mesures de préventions et de précautions pour éviter de tomber dans le piège des cybercriminels, et peut aiguiller les organisations touchées, voire intervenir en cas d’urgence.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
