Campagne de messages malveillants visant à diffuser le maliciel Emotet

Plusieurs établissements de santé ont été victimes d’actes de cybermalveillance impliquant le maliciel Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes. 

Risques
+

Les éléments de connaissance que l'ANSSI peut communiquer sur ce code malveillant sont les suivants :

- Emotet est un cheval de troie bancaire apparu en 2014 et est associé au botnet éponyme MAIS il peut être utilisé à d’autres fins (rançongiciel, etc.) depuis 2017, date à laquelle il est devenu un loader de seconde charge utile ; 

- Il se diffuse par le biais de courriels piégés (généralement dans des documents Microsoft Office embarquant des macros ou des template malveillantes) ;

- Il a la faculté de lire les courriels de ses victimes et de se resservir de leurs contenus pour donner une apparence légitime aux courriels d’hameçonnage qu’il renvoie ;

- Il exploite fréquemment les boîtes courriel auxquelles il a accès chez ses victimes pour se rediffuser à une liste de destinataires ; 

 - Une fois déployé il sert – fréquemment mais pas systématiquement – à télécharger une seconde charge malveillante, de nature variable ;

- TrickBot est actuellement le code malveillant le plus distribué en tant que seconde charge utile par Emotet : il a pour fonctionnalité la latéralisation et la récupération d'autres charges malveillantes telles que des rançongiciels.


Vecteurs d'infection
+

Le code est connu pour se reposer sur un grand nombre de domaine et d’IP de C2 changeant régulièrement. Il est donc particulièrement difficile d’en bloquer la totalité.

Cependant le CERT-FR recommande donc de bloquer les flux vers les serveurs signalés actifs ces derniers jours (dernière mise à jour le 16/10/2020). Ces informations sont disponibles dans l’espace membre dans la section « Marqueurs » :  https://cyberveille-sante.gouv.fr/node/2044 .

Des listes de marqueurs sont disponibles en sources ouvertes :

     i.      https://feodotracker.abuse.ch/browse/ (prendre uniquement les marqueurs « Heodo »)

     ii.      https://paste.cryptolaemus.com/

Celles-ci ont été évaluées par l'ANSSI qui les considère comme fiables et qui recommande de les intégrer dans ses moyens de détection et de blocage. 

Par ailleurs, pour vous aider à vérifier la présence d'Emotet sur vos machines, le CERT-FR met à disposition l'outil "Orc_FastFind_Emotet" sur simple demande.

Pour avoir plus de détails sur la recrudescence d'activité Emotet en France, veuillez vous référer au bulletin du CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/ .


Mesures réactives
+

Ci-dessous des recommandations pour réduire les risques liés à une attaque ou à une compromission potentielle :

- Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros;

- Limiter les accès Internet pour l'ensemble des agents à une liste blanche contrôlée;

- Déconnecter les machines compromises du réseau sans en supprimer les données;

- De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante; seule la réinstallation de la machine permet d’assurer l’effacement de l’implant. 

- Transmettre à l'ANSSI les échantillons à votre disposition pour analyse afin d'en déterminer des IOC qui pourront être partagés. Ce point est essentiel car l'infrastructure de l'attaquant évoluant fréquemment, l'accès aux échantillons récents est donc primordial; 

- filtrer les pièces jointes au format Microsoft Office (Word, Excel, PowerPoint) des messages reçus, en particulier les extensions de fichier .doc,.docx, .xls, .xlsx, .csv.