AVIS DE SÉCURITÉ : Montée marquée d’une menace d’infection très dommageable

En tant que firme spécialisée en réponse aux incidents de cybersécurité et en cyberenquêtes, Forensik s’inquiète d’une montée marquée dans les 3 derniers mois, d’une menace qui a déjà atteint plusieurs de nos clients, et qui a eu des conséquences importantes sur la disponibilité de leurs systèmes et réseaux, en plus d’avoir des impacts très importants sur la conduite de leurs affaires.

En effet, plusieurs de nos clients ont été aux prises avec un maliciel de type très virulent: le virus Emotet. Nous remarquons un taux d’infection à la hausse chez nos clients et nous désirons par cet avis vous informer des mesures de sécurité que nous préconisons à court terme afin de prévenir la propagation de ce virus.

Qu’est-ce que Emotet?

Emotet n’est pas nouveau en cybersécurité, mais il continue d’être l’un des logiciels malveillants les plus coûteux et les plus destructeurs affectant autant les gouvernements que les entreprises des secteurs privé et public.

Pourquoi est-il particulièrement virulent ?

Emotet est un cheval de Troie, de type rootkit, dit polymorphique, i.e. qu’il :

  1. peut contourner la détection basée sur les signatures des antivirus courants;
  2. dispose de plusieurs méthodes pour maintenir sa persistance dans les systèmes informatiques contaminés;
  3. évolue en permanence et de façon dynamique;
  4. peut générer de faux «indicateurs» afin de se cacher aux yeux des administrateurs de systèmes;
  5. se répand de lui-même dans un réseau informatique en «volant» des comptes d’administration des systèmes.

Comment se propage Emotet?

Emotet est diffusé principalement via des courriels infectés, par de l’hameçonnage (courriels contenant des pièces jointes ou des liens malveillants). L’infection initiale se produit habituellement lorsqu’un utilisateur ouvre ou clique sur un lien de téléchargement malveillant, un document PDF ou un document Microsoft Word à extension macro attaché courriel.

Une fois téléchargé, Emotet établit la persistance et tente de se propager dans les réseaux locaux via des modules d’étalement incorporés.

Une fois infecté, quels sont les impacts possibles?

Les nouvelles ne sont guère réjouissantes. À l’heure actuelle, aucune organisation mondiale n’a réussi à trouver de remède simple et efficace à ce virus très (trop) bien conçu. La problématique tient au fait qu’étant polymorphique et très tenace, Emotet se compare au jeu de la taupe («Whac-A-Mole »). À chaque fois qu’on pense qu’il a disparu, il réussit à refaire surface sous une forme différente.

Ainsi, à ce jour, une fois infecté, vous devez principalement vous concentrer sur le confinement de l’infection, l’analyse de votre réseau et, malheureusement, la réinstallation de vos systèmes.

Pourquoi devriez-vous vous sentir concerné ?

Emotet est particulièrement dangereux lorsqu’il «trouve» un réseau informatique qui a une faible maturité en matière de sécurité, ce qui est le cas de nombreuses organisations, grandes et petites, encore aujourd’hui.

Tel qu’expliqué précédemment, Emotet se propage par courriel d’une organisation à une autre. Alors, si les mesures préconisées ci-après sont absentes de votre environnement, un seul utilisateur qui clique par mégarde sur un courriel infecté et votre organisation est à très haut risque.

Une infection par Emotet peut avoir des conséquences désastreuses pour vous, car il prend le contrôle de votre réseau rapidement une fois installé sur un de vos équipements. Les infections durent habituellement plusieurs semaines, nuisent à la conduite de vos affaires pendant ce temps et nécessitent des efforts très importants pour s’en débarrasser.

Vous avez donc tout intérêt à bien vous préparer.

Que faire pour prévenir une infection?

Afin de prévenir une infection, nous vous recommandons de procéder rapidement à la mise en place de mesures simples, si celles-ci sont absentes dans votre organisation. Bien qu’imparfaites, ces mesures pourraient vous éviter une infection à grande échelle.

Puisque le moyen de propagation interne de Emotet repose, en bonne partie, sur la capture des mots de passe des comptes administrateurs locaux des systèmes, il est important de s’assurer des mesures de base suivantes dans vos environnements :

  1. Être en mesure de filtrer en entrée les courriels contre les tentatives d’hameçonnage. De nombreuses plateformes vous permettent de filtrer avec un très bon taux de succès.
  2. Désactiver au plus possible les macros Office sur les postes de travail. Cette désactivation peut être faite par GPO, Powershell ou même un VBScript. Consultez de la documentation à ce sujet.

Avec cette désactivation, il est possible que certains documents deviennent inutilisables s’ils ont des macros. Dans ce cas, il vous faudra traiter ceux-ci par exception.

  1. S’assurer d’avoir des mots de passe des comptes administrateurs locaux différents pour chaque système Windows présent dans votre environnement. Cela permet de ralentir la propagation entre les systèmes. Pour mettre en place ce type de mesures, plusieurs méthodes sont envisageables, notamment les solutions PAM commerciales ou la solution gratuite de Microsoft pour les systèmes Windows : Local Administrator Password Solution (LAPS).
  2. S’assurer que les systèmes d’exploitation sont à jour et que les dernières rustines de sécurité sont installées.
  3. S’assurer d’avoir des copies de sauvegarde récentes et régulières hors ligne de vos systèmes et données critiques. Ne pas oublier que Active Directory est un système critique et que ce dernier devrait être sauvegardé.
  4. Avoir configuré un pare-feu local sur vos systèmes afin de limiter les connexions inhabituelles entre eux. Par exemple, il est anormal que les postes de travail puissent communiquer entre eux. Les serveurs de votre organisation ne devraient pas non plus être en mesure de communiquer directement avec le réseau Internet.

Ces mesures, quoiqu’essentielles et importantes à mettre en œuvre, ne peuvent prévenir toutes les intrusions. En effet, une bonne sécurité repose sur l’intégration de mesures dans toutes les couches des systèmes.

Il faudra donc également envisager un plan d’action à plus long terme. Nous vous invitons à considérer la mise en œuvre des 20 contrôles de sécurité essentiels selon le SANS Institute et le CIS.

The CIS Critical Security Controls for Effective Cyber Defense

The CIS Critical Security Controls are a recommended set of actions for cyber defense that provide specific and actionable ways to stop today’s most pervasive and dangerous attacks. A principal benefit of the Controls is that they prioritize and focus a smaller number of actions with high pay-off results. The Controls are effective because they are derived from the most common attack patterns highlighted in the leading threat reports and vetted across a very broad community of government and industry practitioners. They were created to answer the question, « what do we need to do to stop known attacks. » That group of experts reached consensus and today we have the most current Controls.

Que faire en cas d’infection?

Vous n’avez pas eu le temps de mettre en place les recommandations énumérées précédemment et vous croyez être infectés? Voici nos recommandations :

  1. débrancher du réseau chaque équipement suspecté d’être compromis;
  2. contacter notre centre de gestion des incidents;
  3. réinitialiser les mots de passe des utilisateurs qui se sont connectés récemment sur l’équipement «infecté»;
  4. réinstaller une version propre du système d’exploitation sur les équipements ciblés;
  5. surveiller attentivement toutes les actions sur votre réseau;
  6. demander aux utilisateurs de l’équipement compromis de réinitialiser les mots de passe de leurs comptes personnels ayant été utilisés à partir de cet appareil, voire de tous les appareils, en commençant par les comptes à haute sensibilité comme les comptes bancaires, réseaux sociaux, etc.

Pour les administrateurs de réseaux :

Actuellement, Emotet utilise cinq modules d’épandage connus :

  • exe : utilitaire légitime développé par NirSoft qui récupère tous les mots de passe réseau stockés sur un système pour l’utilisateur actuellement connecté. Cet outil peut également récupérer les mots de passe stockés dans le fichier d’informations d’identification des lecteurs externes.
  • Outlook scraper : outil qui extrait les noms et les adresses courriel des comptes Outlook de la victime et utilise ces informations pour envoyer des courriels d’hameçonnage supplémentaires à partir des comptes compromis.
  • WebBrowserPassView : outil de récupération de mots de passe qui capture les mots de passe stockés par Internet Explorer, Mozilla Firefox, Google Chrome, Safari et Opera et les transmet au module d’énumération des informations d’authentification.
  • Mail PassView : outil de récupération de mots de passe qui révèle les mots de passe et les détails de compte pour divers clients de messagerie tels que Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail et les transmet au module d’énumération des informations d’authentification.
  • L’énumérateur des informations d’authentification : fichier RAR auto-extractible contenant deux composants : un composant de contournement et un composant de service.

Le composant de contournement est utilisé pour l’énumération des ressources réseau. Il recherche les unités de partage accessibles en écriture à l’aide de SMB (Server Message Block) ou tente de briser des mots de passe de comptes d’utilisateur avec force, y compris le compte d’administrateur. Une fois qu’un système disponible est trouvé, Emotet écrit le composant de service sur le système, qui écrit Emotet sur le disque. L’accès d’Emotet à SMB peut entraîner l’infection de domaines entiers (serveurs et clients).

Comment Forensik peut vous aider ?

En cas d’incident, notre équipe d’intervention est formée et équipée pour réagir. Comme dans le cas d’une urgence médicale, nous sommes confrontés à ce type de situation sur une base régulière. Nos experts peuvent donc :

  1. prendre en charge la situation et vous guider, étape par étape, pour résorber l’infection;
  2. mettre à votre disposition les spécialistes et l’équipement nécessaires à la résolution de l’incident.
  3. vous permettre de bénéficier de nombreuses années d’expérience en matière de réaction face à des incidents de toute envergure.

Notre équipe utilise des expertises, de l’équipement et des processus clés en cybersécurité, analyse de maliciels et surveillance afin de vous aider à reprendre le contrôle de votre réseau.

Nous travaillons étroitement avec votre équipe interne et vos partenaires en TI réguliers afin de maximiser vos propres connaissances de vos systèmes et compétences en matière de technologies.

Comment In Fidem peut vous aider ?

In Fidem, société mère de Forensik, est spécialisée en gestion de la sécurité de l’information. Notre approche consiste à nous assurer que la cybersécurité soit intégrée avec vision et stratégie dans votre organisation, afin qu’elle soit aussi agile que les menaces qui l’entourent et aussi ambitieuse que la croissance que vous recherchez.

Nos experts peuvent donc :

  1. évaluer l’efficacité de vos mesures de sécurité existantes;
  2. vous conseiller pour améliorer vos mesures de sécurité afin de réduire vos risques;
  3. vous accompagner à mettre en œuvre des mesures de sécurité personnalisée à votre contexte.

Adoptez l’approche In Fidem : voyez la cybersécurité comme un ACCÉLÉRATEUR DE PERFORMANCE.

Sources d’information sur le sujet :

https://fr.wikipedia.org/wiki/Rootkit

https://heimdalsecurity.com/blog/rootkit/

https://en.wikipedia.org/wiki/Emotet

https://www.us-cert.gov/ncas/alerts/TA18-201A

https://www.esentire.com/news-and-events/security-advisories/increase-in-emotet-infections/

https://blog.malwarebytes.com/detections/trojan-emotet/

http://www.virusradar.com/en/Win32_Emotet.BK/description