Selon IBM X-Force, le malware Emotet se propage depuis peu en Allemagne et au Japon, ciblant de plus en plus agressivement les entreprises de la région.
Emotet est un cheval de Troie bancaire propagé par des pièces jointes contenant des macros et des liens vers des sites malveillants. Il fonctionne principalement comme un téléchargeur pour d'autres logiciels malveillants, notamment le cheval de Troie TrickBot et le rançongiciel Ryuk. De par sa nature polymorphe, il peut échapper aux méthodes de détection traditionnelles basées sur les signatures, ce qui le rend particulièrement difficile à combattre. Une fois infiltré dans un système, il infecte les processus en cours d'exécution et se connecte à un serveur de commande et de contrôle distant pour recevoir des instructions, exécuter des téléchargements et transférer les données volées.us-cert.gov).
Traditionnellement, Emotet utilisait les notifications de facturation d'entreprise pour se faire passer pour une entreprise légitime, imitant souvent l'image de marque d'institutions réputées. Cette stratégie lui a permis de cibler des victimes aux États-Unis (52 % des attaques), au Japon (22 %) et dans les pays de l'UE.japan.zdnet.comUn incident survenu en décembre 2019 a contraint la ville de Francfort, siège de la Banque centrale européenne, à fermer ses bureaux. network (zdnet.com).
Au Japon, cependant, le malware s'est montré beaucoup plus agressif que les années précédentes. Une activité accrue a été signalée fin 2019, et récemment, suite à l'épidémie de coronavirus en Chine, Emotet a changé de tactique et se propage désormais dans tout le Japon sous la forme de fausses alertes de santé publique, avec des rapports inquiétants de cas de coronavirus dans les préfectures de Gifu, Osaka et Tottori.IBM X-Force Exchange).
Il s’agit d’une bonne illustration de ce qui rend ce type de malware si dangereux : non seulement il résiste à la détection par des méthodes basées sur les signatures, mais il manipule également les émotions humaines de base pour se propager.
La protection contre Emotet nécessite donc des mesures plus complexes. Outre une prévention avisée, une méthode efficace pour y faire face consiste à s'appuyer sur l'analyse comportementale à la recherche d'indicateurs de compromission (IoC). Dans le cas de Flowmon, il s'agit du modèle de comportement InformationStealers (BPattern), une méthode de détection standard. Flowmon ADS et décrit les symptômes de la présence d'Emotet dans le network.
Les BPatterns peuvent être considérés comme une sorte de description de la manière dont différents acteurs malveillants se manifestent dans le networkIls permettent au système de distinguer les menaces des autres activités lors de la surveillance et de l'analyse critique du trafic. Contrairement aux signatures traditionnelles, les BPatterns ne ciblent pas un fragment de code particulier et conservent ainsi leur capacité à identifier les menaces même lorsqu'elles évoluent au cours de leur cycle de vie.
Selon une analyse publiée par Fortinet, Emotet utilise 5 URL pour télécharger la charge utile et 61 serveurs C&C codés en dur (fortinet.com/blog). Ces informations sont incluses dans le BPattern et sont utilisées par le système pour identifier l'infection et la contenir avant qu'elle ne se propage. Pour une protection supplémentaire, un BPattern est également disponible pour TrickBot (TOR_Malware). Les deux modèles sont régulièrement mis à jour en fonction de l'évolution des chevaux de Troie et sont diffusés aux utilisateurs dans le cadre de mises à jour régulières. C'est Orizon Systems, partenaire de Flowmon, qui nous a alertés de l'incidence croissante du malware Emotet et a lancé la dernière mise à jour.
Mais aucune protection n'est infaillible et il est conseillé à tous de maintenir plusieurs niveaux de cybersécurité en place et à jour, notamment un antivirus, la détection des indicateurs de compromission (IoC) sur les pare-feu, les systèmes de détection d'intrusion (IDS) et l'analyse comportementale sur le réseau. networkÉtant donné qu'Emotet se propage par le biais d'e-mails usurpés, les utilisateurs doivent faire preuve de prudence lorsqu'ils ouvrent des pièces jointes, en particulier ceux qui reçoivent quotidiennement des factures et des documents provenant de tiers, et signaler tout e-mail suspect ou inhabituel à l'équipe de sécurité.
Pour en savoir plus sur la détection des menaces à l'aide de Flowmon ADS, contactez-nous. pour plus d'informations ou essayez un demo.
Partagez ce blog :
Timur est le fondateur et PDG de NEOX Networks, Un fournisseur leader de network Solutions de visibilité et de sécurité. Fort de plus de 25 ans d'expérience dans le domaine, Timur possède une connaissance approfondie des défis auxquels sont confrontées les équipes informatiques et opérationnelles actuelles. network et dans le domaine de la sécurité. Il est passionné par l'utilisation de la technologie pour résoudre des problèmes complexes et croit fermement qu'une approche efficace network La visibilité est essentielle au succès de toute organisation en matière de disponibilité et de sécurité des applications métier. Timur s'engage à fournir des solutions innovantes qui répondent aux besoins évolutifs des clients de NEOX.