Campagne de messages malveillants visant à diffuser le maliciel Emotet

Plusieurs établissements de santé ont été victimes d’actes de cybermalveillance impliquant le maliciel Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.

Risques
+

Les éléments de connaissance que l'ANSSI peut communiquer sur ce code malveillant sont les suivants :

- Emotet est un cheval de troie bancaire apparu en 2014 et est associé au botnet éponyme MAIS il peut être utilisé à d’autres fins (rançongiciel, etc.) depuis 2017, date à laquelle il est devenu un loader de seconde charge utile ; 

- Il se diffuse par le biais de courriels piégés (généralement dans des documents Microsoft Office embarquant des macros ou des template malveillantes) ;

- Il a la faculté de lire les courriels de ses victimes et de se resservir de leurs contenus pour donner une apparence légitime aux courriels d’hameçonnage qu’il renvoie ;

- Il exploite fréquemment les boîtes courriel auxquelles il a accès chez ses victimes pour se rediffuser à une liste de destinataires ; 

 - Une fois déployé il sert – fréquemment mais pas systématiquement – à télécharger une seconde charge malveillante, de nature variable ;

- Parmi les codes malveillants distribués en tant que seconde charge utile par Emotet, se trouvent généralement d'autres chevaux de Troie bancaire :  TrickBot, Gootkit, IcedID, BokBot, Dridex, DoppelDridex, QakBot, etc. 

Ces derniers ont ensuite la possibilité de distribuer d'autres charges utiles telles que des rançongiciels ;


Vecteurs d'infection
+

Le code est connu pour se reposer sur un grand nombre de domaine et d’IP de C2 changeant régulièrement. Il est donc particulièrement difficile d’en bloquer la totalité.

Des listes de marqueurs sont disponibles en sources ouvertes :

     i.      https://feodotracker.abuse.ch/browse/ (prendre uniquement les marqueurs « Heodo »)

     ii.      https://paste.cryptolaemus.com/

Celles-ci ont été évaluées par l'ANSSI qui les considère comme fiables et qui recommande de les intégrer dans ses moyens de détection et de blocage. 


Mesures réactives
+

Ci-dessous des recommandations pour réduire les risques liés à une attaque ou à une compromission potentielle :

- Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros;

- Limiter les accès Internet pour l'ensemble des agents à une liste blanche contrôlée;

- Déconnecter les machines compromises du réseau sans en supprimer les données;

- De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante; seule la réinstallation de la machine permet d’assurer l’effacement de l’implant. 

- Transmettre à l'ANSSI les échantillons à votre disposition pour analyse afin d'en déterminer des IOC qui pourront être partagés. Ce point est essentiel car l'infrastructure de l'attaquant évoluant fréquemment, l'accès aux échantillons récents est donc primordial; 

- filtrer les pièces jointes au format Microsoft Office (Word, Excel, PowerPoint) des messages reçus, en particulier les extensions de fichier .doc,.docx, .xls, .xlsx, .csv.

Les premiers IOCs liées à cette campagne sont disponibles dans l’espace membre dans la section « Marqueurs » :  https://cyberveille-sante.gouv.fr/node/2044 .