Le trojan TrickBot se dote d’un module pour les attaques Brute Force RDP

Le trojan TrickBot se dote d’un module pour les attaques Brute Force RDP

Le cheval de Troie TrickBot est un cheval de Troie bancaire complexe qui a été identifié pour la première fois en 2016.

Alors que le malware n’était au départ qu’un simple voleur d’informations dédié au vol des identifiants bancaires en ligne, il a massivement évolué au cours des quatre dernières années, et plusieurs modules ont été ajoutés, fournissant une foule d’autres fonctionnalités malveillantes.

Les capacités de vol d’informations de TrickBot ont été considérablement améliorées.

En plus des références bancaires, il peut désormais voler des données de systèmes et de réseaux, des identifiants des comptes de messagerie électronique, des données fiscales et de la propriété intellectuelle. TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau en utilisant d’authentiques utilitaires Windows et le kit d’exploitation EternalRomance pour la vulnérabilité SMBv1.

Le malware peut également créer une porte dérobée pour un accès persistant et faire office d’installateur de malwares. En outre, il peut télécharger d’autres charges utiles malveillantes, comme le ransomware Ryuk.

Le cheval de Troie est souvent mis à jour et de nouvelles variantes apparaissent régulièrement. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une étude de Bitdefender, plus de 100 nouvelles adresses IP sont ajoutées à son infrastructure C&C chaque mois, chacun ayant une durée de vie d’environ 16 jours.

Le malware et son infrastructure sont très complexes et, bien que des mesures aient été prises pour démanteler l’opération, les pirates informatiques parviennent à garder une longueur d’avance.

TrickBot est principalement partagé par le biais de spams via le réseau de botnets Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot, et l’infection par TrickBot entraîne l’ajout d’un ordinateur au réseau de botnets Emotet.

Une fois que toutes les données utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs du ransomware Ryuk, leur donnant ainsi l’accès au mot de passe du réseau de la victime.

Un examen récent d’une variante capturée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à son arsenal. Le cheval de Troie dispose maintenant d’un module pour les attaques par la force brute sur les connexions RDP (Remote Desktop Connexion).

Ces attaques sont principalement menées contre des organisations intervenant dans les secteurs financiers, de l’éducation et des télécommunications. Elles visent actuellement les organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques se répandent région par région au cours des prochaines semaines. Elles sont menées pour voler la propriété intellectuelle et les données financières.

Comme le cheval de Troie TrickBot est modulaire, il peut toujours être mis à jour avec de nouvelles fonctionnalités. L’évolution constante du malware et son succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en pratiquant une bonne cyberhygiène.

Le spam reste le principal mode de diffusion du cheval de Troie Emotet et de TrickBot, c’est pourquoi un filtre antispam avancé est indispensable. Comme de nouvelles variantes apparaissent constamment, les méthodes de détection basées sur les signatures ne suffisent pas à elles seules.

SpamTitan intègre un sandbox alimenté par Bitdefender pour analyser les pièces jointes suspectes des e-mails afin de détecter les activités malveillantes. Cela permet d’identifier l’activité malveillante de toute nouvelle variante de malware et de mettre les e-mails malveillants en quarantaine avant qu’ils ne puissent causer des dommages.

Si vous n’avez pas besoin du RDP, assurez-vous qu’il est désactivé. Dans le cas contraire, assurez-vous que l’accès est restreint et que des mots de passe forts sont établis.

Utilisez le système de blocage en raison d’actions à fréquence trop élevée (rate restricting) pour bloquer les tentatives de connexion après un nombre déterminé d’échecs. Enfin, assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants de connexion volés.

Pour plus de détails sur SpamTitan Email Security et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe du TitanHQ dès maintenant.

Covid-19 : des malwares livrés par des noms de domaines rachetés

Covid-19 : des malwares livrés par des noms de domaines rachetés

La pandémie du COVID-19 a donné aux cybercriminels une occasion en or de gagner de l’argent.

Alors que le monde ne se concentre que sur la réponse à la pandémie et que les gens sont avides d’informations sur le virus, il n’est pas surprenant que les leurres de phishing standard aient été abandonnés au profit des leurres se rapportant au sujet de la pandémie.

Les noms de domaine thématiques liés au COVID-19 et au coronavirus ont été achetés par dizaines de milliers et sont utilisés pour le phishing, la distribution de malwares et diverses escroqueries telles que l’obtention de dons de la part de fausses organisations caritatives.

Les chiffres publiés par l’équipe de l’unité 42 des réseaux de Palo Alto pour la période de février à mars montrent qu’il y a eu une augmentation quotidienne moyenne de 656 % des nouveaux domaines liés au COVID-19, une augmentation de 569 % du nombre de domaines malveillants liés à la pandémie et une augmentation de 788 % des nouveaux domaines à haut risque.

Plusieurs bureaux d’enregistrement de noms de domaines ont commencé à prendre des mesures pour lutter contre le coronavirus et les fraudes liées au COVID-19.

Certains d’entre eux, comme Namecheap, empêchent désormais l’enregistrement de nouveaux domaines liés à la pandémie. Les bureaux d’enregistrement de domaines signalent ces nouveaux domaines pour enquête, mais il s’agit d’un processus d’examen manuel qui prend du temps.

En attendant, les noms de domaines peuvent être utilisés pour lancer des escroqueries convaincantes.

Une campagne malveillante découverte ces derniers jours utilise les noms de domaines liés au COVID-19 pour distribuer le cheval de Troie bancaire Grandoreiro.

Les sites web sont utilisés pour héberger des vidéos qui promettent de fournir des informations importantes sur le SRAS-CoV-2 et le COVID-19. Lorsque les visiteurs cliquent sur la vidéo, ils déclenchent le téléchargement d’un fichier et doivent lancer le programme d’installation pour voir le contenu de la vidéo.

Pourtant, ils installent Grandoreiro. Le cheval de Troie bancaire était auparavant diffusé via les spams, mais le groupe de menace à l’origine de ce malware a changé de tactique en réponse à la pandémie et est passé à la diffusion sur le web.

De nombreuses campagnes similaires ont été créées à l’aide de noms de domaine malveillants liés au COVID-19 pour diffuser une multitude de variantes de malwares tels que les enregistreurs de frappe, les voleurs d’informations, les cryptocurrences et autres chevaux de Troie.

Le confinement a laissé beaucoup de temps libre aux gens et les activités de plein air ont été laissées pour donner la place au visionnage des films. Il n’est pas surprenant que les sites de piratage de films aient connu une forte augmentation et que les distributeurs de malwares en profitent pour regrouper des malwares avec des fichiers vidéo piratés et utiliser de faux torrents de films pour diffuser des malwares.

Une enquête menée par Microsoft a identifié une campagne utilisant un VBScript sous un format ZIP qui contient de films piratés.

La campagne était menée pour livrer le malware CoinMiner qui s’exécute dans la mémoire de l’appareil utilisé, ainsi qu’une attaque du type « Living off the Land (LotL) » qui permet aux pirates de télécharger d’autres charges utiles malveillantes.

Ces campagnes comportent souvent une composante de phishing, avec des e-mails envoyés pour diriger le trafic vers des sites web malveillants.

Une solution avancée de filtrage du spam peut aider à bloquer ces campagnes, mais les entreprises devraient également envisager d’ajouter une couche supplémentaire à leurs défenses de sécurité pour pouvoir les bloquer et pour empêcher leurs employés distants de visiter des noms de domaines malveillants liés au COVID-19.

Cette protection peut être assurée par une solution de filtrage DNS telle que WebTitan Cloud.

WebTitan Cloud filtre les sites web malveillants au stade de la recherche DNS lors d’une demande d’accès à un nom de domaine.

Lorsqu’un utilisateur tente de visiter un site web, au lieu d’utiliser le processus standard d’utilisation du DNS pour trouver son adresse IP, la demande est envoyée par WebTitan. Si le site demandé contient un nom de domaine malveillant, la demande sera bloquée et l’utilisateur sera dirigé vers une page locale de blocage.

WebTitan peut également être configuré pour bloquer certains téléchargements de fichiers et filtrer les sites web par catégorie, comme le blocage des sites de partage de fichiers P2P et de torrents.

Ceci, afin de fournir une protection supplémentaire contre les malwares et l’utilisation de technologies matérielles et logicielles par les employés et qui ne sont pas pris en charge par le service informatique central de l’entreprise.

WebTitan Cloud peut être rapidement configuré à distance par les administrateurs système pour protéger tous les travailleurs sur et hors du réseau sans avoir besoin d’ajouter du matériel supplémentaire, ce qui en fait de lui une solution idéale pour protéger les travailleurs à distance pendant la pandémie du COVID-19.

Pour plus d’informations sur la protection de votre organisation et de vos employés distants contre les attaques sur le web, pour vous inscrire à un essai gratuit de WebTitan et pour connaître les tarifs, appelez l’équipe de TitanHQ dès aujourd’hui.

Le FBI met en garde contre un cheval de Troie visant les fournisseurs de soins de santé

Le FBI met en garde contre un cheval de Troie visant les fournisseurs de soins de santé

Une crise nationale ou mondiale offre aux gens la possibilité de se regrouper et de faire de grandes choses.

Malheureusement, la triste vérité est qu’elle crée également des opportunités pour des motifs malveillants. Elle fait l’objet du meilleur et du pire des comportements humains.

Alors que l’industrie des soins de santé est plongée dans une guerre acharnée avec un virus mortel, les fournisseurs de soins de santé ont, sans le savoir, une cible sur le dos.

Selon le FBI, les pirates informatiques utilisent divers mécanismes d’attaque pour cibler activement les fournisseurs de soins de santé et toute personne essayant d’acheter des fournitures médicales liées à COVID-19.

Le FBI publie une série d’avertissements concernant Kwampirs

Une souche de cheval de Troie d’accès à distance (RAT) appelée Kwampirs, appartenant à un groupe de piratage connu appelé OrangeWorm, a été identifiée. C’est l’un des mécanismes malveillants utilisés pour infiltrer les entreprises de santé transnationales et les hôpitaux locaux.

D’autres entreprises fournissant des logiciels, des produits pharmaceutiques, de l’énergie, de l’imagerie médicale et celles intervenant dans la finance sont également ciblées par cette menace. Mais les attaques contre les fournisseurs de soin de santé sont les plus pertinentes à l’heure actuelle.

Le FBI a indiqué que le groupe de piratage derrière Kwampirs a déjà mené des attaques réussies contre des hôpitaux et des systèmes de santé, obtenant ainsi l’accès à leurs réseaux.

Le FBI a publié une notification à l’industrie privée, avertissant que le malware Kwampirs est utilisé dans les cyberattaques de la chaîne d’approvisionnement dans le but de cibler certaines industries, y compris les fournisseurs de soins de santé.

C’est la troisième alerte de ce type qui a été lancée cette année. Symantec a commencé à faire des rapports sur le Kwampirs il y a un an. Le RAT a été associé à des attaques lancées non seulement aux États-Unis, mais aussi en Europe, en Asie et au Moyen-Orient. Quant au groupe de piratage OrangeWorm, il existe depuis 2015.

La stratégie d’attaque de Kwampirs

La stratégie d’attaque de Kwampirs est de cibler les fournisseurs de la chaîne d’approvisionnement tels que les fournisseurs qui desservent une industrie particulière. C’est par exemple le cas des industries fournissant des logiciels de systèmes de contrôle industriel dans les hôpitaux.

Le malware peut affecter une machine par le biais d’une mise à jour logicielle provenant d’un fournisseur de confiance. L’une de ses caractéristiques est sa structure modulaire. Ceci lui permet d’infecter les machines Windows, sur lesquelles il déterminera ensuite si le système appartient à au réseau ciblé par les pirates.

Une fois que le réseau ciblé est infiltré, le malware chargera alors les modules appropriés en fonction de son environnement hôte. Il peut ensuite être utilisé par son maître pour lancer des charges utiles supplémentaires en fonction des objectifs de l’attaque.

Le logiciel malveillant recherche des « données d’intérêt » et se propage à d’autres systèmes machines par le biais des partages réseau ouverts, des partages administratifs cachés ou du protocole SMB. Les attaquants commencent alors à rechercher des moyens d’infecter les machines connectées au réseau infecté.

Espionnage avec des chevaux de Troie type Kwampirs

Contrairement aux types de malwares les plus répandus, tels que les ransomwares, Kwampirs est un infiltrateur silencieux, car il n’endommage ou ne modifie aucune donnée.

Bien que les motivations de l’attaque puissent être financières, son objectif premier est l’espionnage d’entreprise.

OrangeWorm ne cherche pas à lancer une attaque de type « hit and run » rapide. Le groupe essaye de rester longtemps connecté au réseau ciblé en tant qu’observateur jusqu’à ce que le moment soit propice pour lancer une attaque.

Par conséquent, Kwampirs est conçu pour ne pas attirer l’attention sur lui, mais pour résider discrètement au sein d’un réseau, communiquant avec ses maîtres au quotidien. Si nécessaire, il peut permettre des activités de suivi de l’exploitation informatique.

Il n’est pas rare que les Kwampirs résident sur un réseau pendant plusieurs années. Pour ce faire, il se propage notamment par le biais de fusions et d’acquisitions (c’est l’une des raisons pour lesquelles il est important de réaliser un audit de sécurité avant les activités de fusion et d’acquisition).

Comment combattre Kwampirs ?

Même si elle est de nature silencieuse et non dérangeante, il y a quelques empreintes subtiles qui vous permettent d’identifier la présence de Kwampirs.

Vérifiez si de nouveaux services ou processus font soudainement leur apparition dans votre réseau. Recherchez également les nouveaux fichiers qui apparaissent soudainement dans les dossiers ou partages système. Et comme pour l’instant, il n’existe aucun modèle permettant de détecter efficacement ce type de RAT, la meilleure chose à faire est de réaliser un audit.

Les logiciels antivirus sont capables de détecter et de bloquer les anciennes versions de Kwampirs, mais ils ne doivent pas être considérés comme un remède exclusif.

La meilleure défense est une défense en profondeur ou une stratégie multicouche qui intègre un certain nombre d’outils de cybersécurité pour protéger l’entreprise contre ce type d’attaque, et bien d’autres.

Il s’agit notamment d’un pare-feu de nouvelle génération, d’un système de sécurisation de la messagerie électronique et d’une solution de filtrage web.

Les solutions basées dans le cloud sont un moyen privilégié de sécuriser vos actifs sur place et les employés qui doivent désormais travailler à distance en raison de la crise du COVID-19. Notre solution de filtrage de la messagerie électronique SpamTitan et notre solution de filtrage web WebTitan sont parfaitement adaptées aux défis actuels.

Comment TitanHQ peut-il vous aider ?

Plusieurs entreprises de formation à la sensibilisation à la sécurité proposent gratuitement des ressources aux entreprises pendant la crise COVID-19 pour les aider à former leurs employés, comme le SANS Institute. Profitez de ces ressources et diffusez-les auprès de vos collaborateurs.

Si vous avez une PME, vous pouvez également avoir accès à des e-mails gratuits de simulation de phishing pour tester la capacité de vos employés à identifier et contrer les menaces web.

Bien entendu, TitanHQ ne peut pas vous aider dans votre formation de sensibilisation à la cybersécurité, mais nous pouvons vous aider à minimiser les risques de cyberattaques en protégeant vos employés contre les menaces lancées via la messagerie électronique et le web.

Vous voulez avoir plus d’informations sur la protection de votre entreprise pendant la crise COVID-19 ? Vous voulez bénéficier d’une démonstration de la solution sécurité de la messagerie électronique de SpamTitan et/ou de la solution de sécurité web de WebTitan ? Vous voulez vous inscrire à un essai gratuit de l’une ou l’autre solution afin de commencer à vous protéger instantanément contre les menaces de la messagerie électronique et du web ? Contactez l’équipe de TitanHQ dès aujourd’hui.

500 000 postes infectés en 12 heures par un malware d’extraction de cryptomonnaies via le cheval de Troie Dofoil

500 000 postes infectés en 12 heures par un malware d’extraction de cryptomonnaies via le cheval de Troie Dofoil

Une énorme campagne de distribution du cheval de Troie Dofoil a été découverte par Microsoft. Cette campagne a permis aux pirates d’infecter près d’un demi-million de PC en moins de 12 heures.

Le cheval de Troie Dofoil est également appelé Smoke Loader, lequel est utilisé pour propager une variété d’autres virus depuis de nombreuses années.

Il s’agit d’une petite application qui, une fois téléchargée sur un PC, peut télécharger d’autres formes de malwares. Le cheval de Troie Dofoil a été utilisé dans de nombreuses campagnes depuis au moins 2011 pour télécharger des malwares, la dernière campagne ayant servi à installer un malware d’extraction de cryptomonnaies.

Le cheval de Troie a été signalé pour la première fois le 6 mars dernier, lorsque Windows Defender a découvert près de 80 000 cas d’infection sur des PC. Ce nombre a augmenté rapidement pour atteindre plus de 400 000 dans les 12 heures suivantes.

Plusieurs souches du cheval de Troie Dofoil étaient utilisées dans le cadre de la campagne qui se concentrait principalement sur d’autres dispositifs situés en Russie, en Ukraine et en Turquie.

Le malware a été déployé pour extraire des pièces en électroneum sur les appareils infectés, bien qu’il puisse extraire d’autres types de cryptomonnaies.

La détection de ce type de malware peut être délicate, car il utilise un processus lui permettant de créer une nouvelle instance d’un processus Windows authentique à des fins malveillantes.

Pour notre cas, il a été masqué sous la forme d’un fichier binaire Windows pour éviter la détection (wuauclt.exe). Explorer.exe a été utilisé pour établir une copie du malware dans le dossier Roaming AppData qui a alors été rebaptisé ditereah.exe.

Le registre de Windows était également modifié pour assurer la persistance de l’infection, en changeant une entrée existante pour la pointer vers la copie du malware. Par la suite, le malware a communiqué avec son serveur C2 et téléchargé des variantes supplémentaires de malwares sur l’appareil infecté.

Microsoft a été en mesure de repérer les infections.

Pourtant, ce qu’on ignore pour l’instant, c’est comment le malware a été téléchargé sur un très grand nombre d’appareils en une très courte période. Bien que le malware ait pu être diffusé via des spams, un autre moyen de distribution est suspecté.

Microsoft a noté que dans de nombreux cas, il aurait été partagé à l’aide de fichiers torrents qui sont utilisés dans le partage de fichiers P2P, souvent pour obtenir des films, de la musique et des logiciels piratés.

Microsoft n’a fait connaître que le nombre d’infections qu’elle a détectées à l’aide de Windows Defender. Et comme la marque n’a pas de visibilité sur les appareils sur lesquels son logiciel antimalware n’est pas installé, le nombre total d’infections risque donc d’être beaucoup plus élevé. Les quelques 400 000 infections ne sont probablement qu’un début.

Microsoft note que ses tentatives pour perturber le fonctionnement du malware ont fait plus qu’empêcher les appareils d’exploiter les cryptomonnaies.

Elles devraient aussi empêcher les pirates d’installer un nombre illimité de charges utiles malveillantes supplémentaires par le biais du cheval de Troie Dofoil, y compris les variantes de malwares et de ransomwares les plus dangereuses.

Des alertes relatives aux certificats de sécurité expirés utilisées pour la distribution de malwares

Des alertes relatives aux certificats de sécurité expirés utilisées pour la distribution de malwares

Une campagne utilisant des alertes sur les certificats de sécurité périmés pour tromper les internautes peu méfiants et les inciter à télécharger des malwares a été détectée. Les alertes ont été diffusées sur plusieurs sites web légitimes, mais qui ont été compromis par des cybercriminels.

Lorsque les visiteurs arrivent sur les sites web compromis, ils reçoivent un message d’erreur qui leur indique que le certificat de sécurité numérique a expiré et qu’ils doivent en télécharger un mis à jour. Le téléchargement et l’exécution du fichier entraînent l’installation d’un malware sur l’appareil de l’utilisateur.

Cette tactique de distribution de malwares n’est pas nouvelle. Les cybercriminels utilisent cette méthode depuis des années pour tromper les utilisateurs et les amener à télécharger des malwares sous le guide d’un navigateur ou d’une mise à jour Flash, mais c’est la première fois que des messages d’erreur de certificats de sécurité de sites web expirés sont utilisés pour la distribution de malwares.

Le message d’erreur NET::ERR_CERT_OUT_OF_DATE est transmis par une iframe qui est superposée au site web à l’aide d’un script jquery.js. L’avertissement correspond à la taille de la page d’origine. C’est donc tout ce que le visiteur voit lorsqu’il arrive sur le site web.

S’il veut voir le contenu, il est invité à mettre à jour son certificat de sécurité pour permettre la connexion au site web. Le contenu du message est chargé à partir d’une ressource web tierce, mais l’URL affichée est celle du site web légitime sur lequel l’utilisateur a navigué.

La manière dont les acteurs de la menace ont compromis les sites web n’est pas claire. Souvent, les sites web sont compromis en utilisant des tactiques de force brute pour deviner des mots de passe faibles. Il est également possible d’utiliser des kits d’exploitation pour cibler les vulnérabilités qui n’ont pas été corrigées.

D’ailleurs, on ne sait pas comment les gens sont redirigés vers les sites web malveillants. En général, le trafic est envoyé vers les sites web compromis par des escroqueries de phishing ou des publicités web malveillantes (malvertising), mais les visiteurs pourraient simplement atterrir sur ces sites en faisant une simple recherche sur Google.

Étant donné que les alertes apparaissent sur des sites web légitimes, les utilisateurs peuvent penser que les messages sont authentiques. L’un des sites web compromis est le site officiel d’un zoo. Kaspersky Lab a également identifié un autre site appartenant à un concessionnaire de pièces automobiles légitime. La campagne est active depuis au moins deux mois.

La protection contre cette méthode de diffusion de malwares nécessite une combinaison de solutions de sécurité. Un logiciel anti-virus à jour est indispensable pour garantir que tout fichier téléchargé sur un ordinateur professionnel est analysé dans le but de détecter les malwares.

Une solution de filtrage du web telle que WebTitan assurera également une protection en empêchant les utilisateurs de visiter des sites web compromis qui sont utilisés pour distribuer des malwares et en bloquant également les téléchargements les fichiers susceptibles d’être malveillants.

Contactez TitanHQ dès aujourd’hui pour en savoir plus sur le filtrage du web et sur la manière dont vous pouvez protéger votre entreprise contre les attaques lancées via le web.

Phishing et Emotet : une nouvelle méthode d’infection Wi-Fi découverte

Phishing et Emotet : une nouvelle méthode d’infection Wi-Fi découverte

Emotet est la plus grande menace de malwares à laquelle sont confrontées les entreprises et l’activité a considérablement augmenté ces dernières semaines, après une accalmie en décembre.

Plusieurs nouvelles campagnes sont désormais identifiées chaque semaine, dont la plupart ciblent les entreprises. L’une des campagnes les plus récentes utilise une technique éprouvée pour installer le cheval de Troie Emotet. Il s’agit de documents Word malveillants qui se font passer pour des factures, des devis, des renouvellements et des coordonnées bancaires.

La campagne cible principalement des organisations aux États-Unis et au Royaume-Uni, bien que des attaques aient également été détectées en Inde, en Espagne et aux Philippines. Environ 90% des e-mails de phishing d’Emotet ciblent les services financiers, et environ 8 % des attaques visent des entreprises de l’industrie alimentaire et des boissons.

Les documents Word malveillants sont soit joints aux e-mails, soit des hyperliens inclus dans les messages et qui dirigent la victime vers un site web compromis où le document Word est téléchargé. Les sites web utilisés sont fréquemment modifiés et de nouvelles variantes d’Emotet sont fréquemment publiées pour empêcher leur détection. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des moteurs antivirus pour détecter les malwares ont peu de chances de détecter ces menaces du type « zero day ».

Comme Emotet est un botnet massif, les e-mails qui le propagent proviennent de nombreuses sources différentes. Les solutions de sécurité de la messagerie électronique qui s’appuient sur des listes noires en temps réel ont également peu de chances de détecter ces sources comme étant malveillantes.

Emotet est principalement distribué via la messagerie électronique à partir d’appareils infectés, mais une autre méthode de distribution a récemment été identifiée. Le Cheval de Troie se propage également via les réseaux Wi-Fi. Cette méthode est utilisée depuis près de deux ans, mais elle vient seulement d’être détectée par les chercheurs en sécurité de Binary Defense.

Lorsqu’Emotet est installé, un fichier binaire worm.exe s’exécute automatiquement. Il tente de se connecter à des réseaux quasi Wi-Fi et force les mots de passe faibles. Une fois connecté à un réseau Wi-Fi, il recherche des fichiers partagés et non cachés sur le réseau.

Puis, il tente de recenser tous les utilisateurs connectés au réseau Wi-Fi pour permettre au pirate de lancer une attaque de phishing.

Comment bloquer Emotet ?

Les pirates ne cessent de développer de nouvelles tactiques pour rendre la détection Emotet de plus en plus difficile et il n’existe pas de solution unique pouvant assurer une protection contre toutes les formes d’attaque. Ce qu’il faut, c’est une approche de défense en profondeur et des défenses multicouches.

La principale défense contre Emotet est essentiellement basée sur la messagerie électronique, ainsi qu’une solution avancée de filtrage du spam. De nombreuses entreprises utilisent Office 365 et s’appuient sur la protection fournie par Exchange Online Protection (EOP), qui est incluse en standard dans les licences Office 365.

Mais EOP, à elle seule, ne peut pas fournir une protection suffisante contre Emotet. EOP peut bloquer toutes les menaces de malwares connues, mais il peine à identifier les attaques de type « zero day ». Pour ce faire, il faut également adopter d’autres méthodes de détection plus avancées.

SpamTitan a été développé pour fonctionner de manière transparente avec EOP afin de protéger la messagerie électronique d’Office 365 contre les menaces du type « zero day ». Cette solution utilise une variété de techniques pour identifier les différentes formes d’attaques d’Emotet, y compris deux antivirus capables de bloquer les variantes connues d’Emotet. Elle intègre également une fonction de sandboxing pour bloquer les attaques du type « zero day ». Les pièces jointes suspectes ou inconnues sont envoyées dans la sandbox où elles sont soumises à une analyse approfondie pour identifier les actions malveillantes.

En outre, SpamTitan peut analyser les e-mails sortants dans le but d’identifier les tentatives de diffusion d’Emotet à partir d’une machine déjà infectée.

A ceux-ci s’ajoute la DMARC, une fonction qui permet d’identifier les tentatives d’usurpation d’identité et de domaine, lesquelles sont couramment utilisées par les pirates pour diffuser Emotet.

Pour assurer la protection contre les attaques basées sur le web – y compris les e-mails d’Emotet qui utilisent des hyperliens malveillants plutôt que des pièces jointes -une autre couche de sécurité doit être ajoutée pour mieux protéger votre organisation des attaques cybercriminelles. Il s’agit d’une solution de filtrage DNS, telle que WebTitan.

WebTitan utilise la détection des menaces par URL en temps réel, grâce à une base de données alimentée par 650 millions d’utilisateurs. La base de données en temps réel comprend plus de 3 millions d’URL et d’adresses IP malveillantes. Chaque jour, environ 100 000 nouvelles URL malveillantes sont détectées et bloquées.

WebTitan comprend également la catégorisation et la détection en temps réel des domaines, des URL et des IP malveillants, avec des mises à jour à la minute près pour bloquer les nouvelles sources malveillantes. Dès qu’une URL est identifiée comme pouvant distribuer Emotet (ou d’autres malwares), elle est bloquée par WebTitan.

WebTitan effectue également une analyse des liens et des contenus web, une analyse statique, heuristique et des anomalies de comportement. Cette solution intègre plusieurs outils et pour protéger les utilisateurs contre les menaces du web.

Enfin, vous devriez également ces autres mesures pour faire face à la menace d’Emotet :

  • Désactiver les macros dans toute l’organisation
  • Veiller à ce que les systèmes d’exploitation soient tenus à jour et à ce que les vulnérabilités soient rapidement corrigées.
  • Définir des mots de passe forts pour contrecarrer les attaques par la force brute
  • Veiller à ce que les solutions de protection des points d’accès soient déployées sur tous les appareils
  • Fournir une formation de sensibilisation à la sécurité à vos employés

Effectuer des exercices de simulation de phishing pour identifier les employés qui ont besoin d’une formation complémentaire.