[En cours] Campagne de messages malveillants visant à diffuser le maliciel Emotet

Plusieurs établissements de santé ont été victimes d’actes de cybermalveillance impliquant le maliciel Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes. 

[Mise à jour du 24/06/2021] Après le démantèlement d’Emotet par les autorités en Janvier 2021. Plus aucun serveur actif distribuant Emotet n'est répertorié actuellement. Les serveurs de téléchargement de maliciels (charge utile ou Loader) les plus actifs distribuent notamment TrickBot et Dridex.

TrickBot est un cheval de troie bancaire apparu en 2016 mais il peut être utilisé à d’autres fins, notamment comme loader de seconde charge utile. Sa propagation peut se faire à travers des pièces jointes de courriels piégés ou bien par téléchargement direct via la maliciel Emotet.

Dridex est cheval de Troie bancaire apparu en 2014. Les principales fonctionnalités de ce maliciel sont le keylogging (enregistrement du clavier de la victime, captures d’écran, etc.) ainsi que la collecte d’information et la modification de contenus de sites Internet par injection.

La liste des serveurs de distribution de maliciel liés à cette alerte ne mentionnent plus Emotet depuis quelques mois dû au démantèlement de son réseau. Les serveurs répertoriés sont les malwares TrickBot et Dridex.

Risques
+

Les éléments de connaissance que l'ANSSI peut communiquer sur ce code malveillant sont les suivants :

- Emotet est un cheval de troie bancaire apparu en 2014 et est associé au botnet éponyme MAIS il peut être utilisé à d’autres fins (rançongiciel, etc.) depuis 2017, date à laquelle il est devenu un loader de seconde charge utile ; 

- Il se diffuse par le biais de courriels piégés (généralement dans des documents Microsoft Office embarquant des macros ou des template malveillantes) ;

- Il a la faculté de lire les courriels de ses victimes et de se resservir de leurs contenus pour donner une apparence légitime aux courriels d’hameçonnage qu’il renvoie ;

- Il exploite fréquemment les boîtes courriel auxquelles il a accès chez ses victimes pour se rediffuser à une liste de destinataires ; 

 - Une fois déployé il sert – fréquemment mais pas systématiquement – à télécharger une seconde charge malveillante, de nature variable ;

- TrickBot est actuellement le code malveillant le plus distribué en tant que seconde charge utile par Emotet : il a pour fonctionnalité la latéralisation et la récupération d'autres charges malveillantes telles que des rançongiciels.


Vecteurs d'infection
+

Le code est connu pour se reposer sur un grand nombre de domaine et d’IP de C2 changeant régulièrement. Il est donc particulièrement difficile d’en bloquer la totalité.

Cependant le CERT-FR recommande donc de bloquer les flux vers les serveurs signalés actifs ces derniers jours (dernière mise à jour le 31/08/2021). Ces informations sont disponibles dans l’espace membre dans la section « Marqueurs » :  https://cyberveille-sante.gouv.fr/node/2044 .

Des listes de marqueurs sont disponibles en sources ouvertes :

     i.      https://feodotracker.abuse.ch/browse/ (prendre uniquement les marqueurs « Heodo »)

     ii.      https://paste.cryptolaemus.com/

Celles-ci ont été évaluées par l'ANSSI qui les considère comme fiables et qui recommande de les intégrer dans ses moyens de détection et de blocage. 

Par ailleurs, pour vous aider à vérifier la présence d'Emotet sur vos machines, le CERT-FR met à disposition l'outil "Orc_FastFind_Emotet" sur simple demande.

Pour avoir plus de détails sur la recrudescence d'activité Emotet en France, veuillez vous référer au bulletin du CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/ .


Mesures réactives
+

Ci-dessous des recommandations pour réduire les risques liés à une attaque ou à une compromission potentielle :

- Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros;

- Limiter les accès Internet pour l'ensemble des agents à une liste blanche contrôlée;

- Déconnecter les machines compromises du réseau sans en supprimer les données;

- De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante; seule la réinstallation de la machine permet d’assurer l’effacement de l’implant. 

- Transmettre à l'ANSSI les échantillons à votre disposition pour analyse afin d'en déterminer des IOC qui pourront être partagés. Ce point est essentiel car l'infrastructure de l'attaquant évoluant fréquemment, l'accès aux échantillons récents est donc primordial; 

- filtrer les pièces jointes au format Microsoft Office (Word, Excel, PowerPoint) des messages reçus, en particulier les extensions de fichier .doc,.docx, .xls, .xlsx, .csv.