Que sont les logiciels espions ?
Emotet est un programme informatique malveillant initialement développé sous la forme d'un cheval de Troie ciblant les données bancaires. Son objectif visait à accéder aux appareils étrangers et à espionner leurs données privées sensibles. Emotet est célèbre pour ne pas avoir été détecté par des programmes antivirus de base et les avoir induits en erreur. Une fois l'ordinateur infecté, le programme malveillant se propage comme un ver informatique et tente d'infiltrer d'autres ordinateurs du réseau.
Emotet se propage principalement via des spams. L'email en question contient un lien malveillant ou un document infecté. Si vous téléchargez le document ou cliquez sur le lien, un autre programme malveillant se télécharge automatiquement sur votre ordinateur. Ces emails ont été créés pour sembler tout à fait authentiques et nombreux sont ceux qui sont tombés dans le piège d'Emotet.
Emotet : présentation
Emotet a été détecté pour la première fois en 2014, alors que les clients de banques allemandes et autrichiennes étaient la cible du cheval de Troie. Emotet est parvenu à accéder aux données d'identification des clients. Le virus s'est propagé dans le monde entier au cours des années suivantes.
D'un cheval de Troie ciblant les données bancaires, Emotet est devenu un dropper, ce qui signifie que le cheval de Troie charge des programmes malveillants sur les appareils. Ce sont ces programmes qui sont responsables des dégâts que nous connaissons sur les systèmes.
Dans la plupart des cas, les programmes suivants ont été « déposés » :
- Trickster (également appelé TrickLoader et TrickBot) : cheval de Troie ciblant les données bancaires qui tente d'accéder aux données d'identification des comptes bancaires.
- Ryuk: cheval de Troie de chiffrement, également appelé Cryptotrojan ou Ransomware, qui chiffre les données et empêche ainsi l'utilisateur d'y accéder ou d'accéder à l'ensemble du système.
L'objectif des cybercriminels utilisant Emotet consiste souvent à extorquer des fonds à leurs victimes. Ils menacent par exemple de publier les données chiffrées auxquelles ils ont accès.
Qui sont les cibles d'Emotet ?
Emotet cible les particuliers, ainsi que les entreprises, les organismes et les autorités. En 2018, après avoir été infecté par Emotet, l'hôpital Fuerstenfeldbruck en Allemagne a dû éteindre 450 ordinateurs et se déconnecter du centre de contrôle de secours pour tenter de contrôler l'infection. En septembre 2019, la cour d'appel de Berlin a été affectée. En décembre de la même année, c'est l'université de Giessen qui a été prise pour cible. L'école de médecine de Hanovre et la mairie de Francfort ont également été visées par Emotet.
Ces infections ne sont que quelques exemples parmi tant d'autres. On estime que le nombre d'entreprises affectées est bien plus élevé. On suppose également que de nombreuses entreprises infectées n'ont pas voulu signaler leur infection par crainte de salir leur réputation.
Gardons également à l'esprit qu'à ses débuts, Emotet ciblait principalement des entreprises et des organismes, alors que le cheval de Troie vise aujourd'hui majoritairement des particuliers.
Quels sont les appareils exposés à Emotet ?
Initialement, les infections par Emotet étaient uniquement détectées sur les versions les plus récentes du système d'exploitation Microsoft Windows. Toutefois, au début de l'année 2019, on s'est rendu compte que les ordinateurs Apple étaient également pris pour cibles. Les cybercriminels piègent les utilisateurs au moyen d'un email frauduleux émanant soi-disant du support Apple. L'email indique à l'utilisateur que l'entreprise va « restreindre l'accès à son compte » s'il ne répond pas. Les victimes sont ensuite invitées à cliquer sur un lien pour éviter prétendument la désactivation et la suppression de leurs services Apple.
Comment le cheval de Troie Emotet se propage-t-il ?
Emotet se répand principalement via une prétendue collecte Outlook. Le cheval de Troie lit les emails des utilisateurs déjà affectés et crée un contenu trompeur. Ces emails semblent légitimes et personnalisés, se démarquant ainsi des spams habituels. Emotet envoie ces emails de phishing aux contacts enregistrés comme les amis, les membres de la famille et les collègues.
Généralement, les emails contiennent un lien dangereux ou un document Word infecté que le destinataire est supposé télécharger. Le nom de l'expéditeur est toujours correct. Tout laisse à penser au destinataire que l'email est légitime. La victime (la plupart du temps) clique sur le lien dangereux ou télécharge la pièce jointe infectée.
Une fois qu'Emotet a accès au réseau, il peut se propager tranquillement. Dans le cadre de son processus, il tente de trouver les mots de passe d'accès aux comptes à l'aide de la méthode de force brute. Parmi les autres moyens de propagation d'Emotet figurent les vulnérabilités EternalBlue et DoublePulsar sous Windows, qui autorisent l'installation du programme malveillant sans intervention humaine. En 2017, le cheval de Troie d'extorsion WannaCry est parvenu à exploiter la vulnérabilité EternalBlue pour mener une cyberattaque majeure ayant entraîné des dégâts considérables.
Qui se cache derrière Emotet ?
Selon l'Office général allemand pour la sécurité en matière de technologie de l'information (BSI),
« les développeurs d'Emotet sous-louent leur logiciel et leur infrastructure à des tiers ».
Ils s'appuient également sur des programmes malveillants supplémentaires pour atteindre leurs objectifs. Le BSI estime que les motivations des cybercriminels sont financières et considère ce type d'attaques comme des cybercrimes, et non comme de l'espionnage. Pourtant, personne ne semble savoir précisément qui se cache derrière Emotet. Plusieurs rumeurs circulent concernant les pays d'origine, mais rien n'a été prouvé.
Dans quelle mesure Emotet est-il dangereux ?
Le Département de la sécurité intérieure américain en est venu à la conclusion qu'Emotet était un logiciel particulièrement onéreux doté d'une puissance destructrice phénoménale. Le coût du nettoyage est estimé à près d'un million de dollars par incident. Arne Schoenbohm, directeur du BSI, appelle Emotet « le roi des programmes malveillants ».
Emotet est sans aucun doute le programme malveillant le plus complexe et le plus dangereux de l'histoire de la cybercriminalité. Le virus est polymorphe, ce qui signifie que son code change légèrement à chaque fois qu'on y accède.
Les logiciels antivirus peinent ainsi à l'identifier car nombre d'entre eux exécutent des recherches basées sur les signatures. En février 2020, les chercheurs de Binary Search ont découvert qu'Emotet attaquait désormais les réseaux wifi. Si un appareil infecté est connecté à un réseau wifi, Emotet analyse l'ensemble des réseaux wifi situés à proximité. Au moyen d'une liste de mots de passe, le virus tente ensuite d'accéder aux réseaux et d'infecter d'autres appareils.
Les cybercriminels jouent sur les peurs de la population. Il n'est donc guère surprenant que la panique liée au coronavirus, qui sévit dans le monde entier depuis décembre 2019, soit également exploitée par Emotet. Les cybercriminels utilisant le cheval de Troie créent des emails frauduleux supposés informer le public sur le coronavirus. Si vous trouvez un email de ce type dans votre boîte de messagerie, faites attention aux pièces jointes et aux liens qu'il contient.
Comment puis-je me protéger ?
La protection contre Emotet et les autres chevaux de Troie ne peut incomber aux seuls programmes antivirus. La détection du virus polymorphe représente uniquement la première étape pour les utilisateurs finaux. Il n'existe pour ainsi dire aucune solution offrant une protection à 100 % contre Emotet et les autres chevaux de Troie en constante évolution. Seules des mesures techniques et organisationnelles peuvent minimiser le risque d'infection.
Voici quelques conseils pour vous protéger contre Emotet :
- Restez à jour : Tenez-vous régulièrement informé de toute actualité concernant Emotet. Plusieurs moyens sont à votre disposition, comme consulter le centre de ressources de Kaspersky ou effectuer vos propres recherches.
- Mises à jour de sécurité : il est indispensable d'installer les mises à jour fournies par les fabricants le plus rapidement possible pour pallier les éventuelles failles de sécurité. Ceci s'applique aux systèmes d'exploitation comme Windows et macOS, ainsi qu'à l'ensemble des programmes d'application, navigateurs, modules complémentaires de navigateurs, clients de messagerie, systèmes Office et programmes PDF.
- Protection antivirus : installez un programme antivirus et anti-programmes malveillants complet comme Kaspersky Internet Security, et utilisez-le pour analyser régulièrement votre ordinateur à la recherche d'éventuelles vulnérabilités. Un tel programme vous procurera une protection optimale contre les derniers virus, logiciels espions, etc.
- Ne téléchargez pas de pièces jointes suspectes contenues dans des emails et ne cliquez pas sur les liens suspects. En cas d'incertitude à propos d'un email, ne prenez aucun risque et contactez l'expéditeur. Si vous êtes invité à autoriser l'exécution d'une macro ou d'un fichier téléchargé, n'obtempérez sous aucun prétexte et supprimez immédiatement le fichier. De cette manière, vous ne laisserez pas à Emotet la chance d'accéder à votre ordinateur.
- Sauvegardez régulièrement vos données sur un appareil de stockage externe. En cas d'infection, vous disposerez toujours d'une sauvegarde à laquelle vous pourrez recourir et ne perdrez pas toutes les données de votre appareil.
- Utilisez uniquement des mots de passe forts pour tous vos identifiants (banque en ligne, boîte mail magasins en ligne). Cela signifie que vous devez éviter d'utiliser le nom de votre premier chien, mais plutôt un ensemble de lettres, de chiffres et de caractères spéciaux. Vous pouvez les mettre à jour vous-même ou les générer au moyen de différents programmes. Par ailleurs, de nombreux programmes offrent aujourd'hui une fonction d'authentification à deux facteurs.
- Extensions de fichiers : laissez votre ordinateur afficher par défaut les extensions de fichier. Cela vous permet de détecter les fichiers suspects comme « Photo123.jpg.exe », susceptibles d'être des programmes malveillants.
Comment supprimer Emotet ?
Tout d'abord, ne paniquez pas si vous suspectez que votre ordinateur a été infecté par Emotet. Informez votre cercle personnel car vos contacts de messagerie sont potentiellement exposés.
Ensuite, veillez à isoler votre ordinateur s'il est connecté à un réseau pour limiter le risque de propagation d'Emotet. Enfin, modifiez l'ensemble des données de connexion de tous vos comptes (comptes de messagerie, navigateurs Web, etc.). Utilisez pour ce faire un autre appareil non infecté ou non connecté au même réseau.
Emotet étant polymorphe (ce qui signifie que son code change légèrement à chaque fois que l'on y accède), un ordinateur propre peut être rapidement réinfecté s'il est reconnecté à un réseau infecté. Par conséquent, vous devez nettoyer tous les ordinateurs connectés à votre réseau, l'un après l'autre. Utilisez un programme antivirus pour vous aider dans cette tâche. Vous pouvez également contacter un spécialiste, par exemple votre fournisseur de logiciel antivirus, pour obtenir des conseils et de l'aide.
EmoCheck : cet outil est-il réellement efficace face à Emotet ?
L'équipe d'intervention d'urgence informatique japonaise a publié un outil appelé EmoCheck, supposée vérifier si votre ordinateur a été infecté par Emotet. Mais Emotet étant polymorphe, EmoCheck ne peut garantir à 100 % que votre ordinateur est sain.
En revanche, l'outil détecte les chaînes de caractères types et vous informe en cas de cheval de Troie potentiel. Cela dit, la mutabilité du virus ne garantit pas que votre ordinateur est réellement sain. Il est bon de le garder à l'esprit.
Conclusion
Le cheval de Troie Emotet est réellement l'un des programmes malveillants les plus dangereux de l'histoire de la cybersécurité. Particuliers, entreprises ou autorités internationales, tout le monde peut être pris pour cible. Le cheval de Troie qui a infecté une fois un système recharge d'autres programmes malveillants qui vous espionnent.
Un grand nombre de victimes d'Emotet ont reçu des emails leur demandant de payer des rançons en échange de leurs données. Malheureusement, aucune solution de fournit une protection intégrale contre une infection par Emotet. Cependant, plusieurs mesures peuvent être prises pour limiter le risque d'infection.
Si vous suspectez que votre ordinateur est infecté par Emotet, prenez les mesures mentionnées dans cet article pour nettoyer votre ordinateur et vous assurer que vous être protégé par une solution antivirus complète comme les solutions Kaspersky de protection contre les programmes malveillants.
Articles connexes :
