Emotet fait son retour. Les fichiers Word, Excel et autre fichiers Office 365 restent un vecteur critique de cybermenaces. Comment y remédier ?

Avec près d’une semaine de retard, Tom a finalement reçu le devis de Tetome Supply.

Il avait hâte de découvrir leur proposition. Grâce aux cours trimestriels sur la cybersécurité, il savait toutefois qu’il lui allait être prudent. Il a donc attentivement examiné l’adresse e-mail et le nom de l’expéditeur pour s’assurer que la pièce jointe était un document Word et non un fichier .exe. Le texte de l’e-mail l’a également rassuré puisque l’expéditeur le remerciait pour sa patience et lui demandait des nouvelles de son chiot.

Tom dégustait son café du matin tout en lisant les grands titres de l’actualité sur son smartphone. Un message est apparu sur son écran l’informant que le .doc avait été créé dans iOS et qu’il devait autoriser la modification et le contenu. Enfin, il allait pouvoir consulter le contenu du document, mais cela allait déclencher une réaction en chaine.

D’après ce qu’il savait, le document contenait uniquement des informations tarifaires. Rien ne laissait deviner qu’Emotet avait été téléchargé d’un site Web compromis par une commande Powershell. Ou que Trickbot avait été utilisé pour sauvegarder Emotet.

C’était trop tard. Lorsque Tom a ouvert son ordinateur portable quelques jours plus tard, un message l’informait que tous ses fichiers étaient chiffrés et que les pirates ne les déverrouilleraient que s’il leur versait 150 000 dollars en bitcoin. Le message était signé Ryuk.

Pas le moindre espace de répit

Au premier semestre 2019, les fichiers PDF malveillants se sont montrés plus présents que les fichiers Office 365, avec 36 488 contre 25 461. Puis en 2020, le nombre de PDF a baissé de 8 % par rapport à la même période en 2019 tandis que le nombre de fichiers Microsoft Office malveillants est monté en flèche pour atteindre 70 184, soit une augmentation de 176 %.

Wired Magazine a nommé Emotet le malware le plus dangereux au monde. Il n’est donc pas surprenant qu’en janvier 2021, les autorités de tous les grands pays ait lancé une opération de grande envergure pour neutraliser l’infrastructure d’Emotet, retrouvée intégrée à des serveurs et des ordinateurs dans plus de 90 pays. Cette opération a permis d’arrêter des cybercriminels et de saisir des équipements, des espèces et même des piles de lingots d’or accumulés par ces bandes organisées.

Et en effet, l’utilisation de fichiers Microsoft Office dans des attaques a diminué. Selon le rapport SonicWall 2022 sur les cybermenaces, les PDF sont redevenus le vecteur d’attaque privilégié : leur utilisation malveillante a progressé de 52 % et l’utilisation de fichiers Microsoft Office malveillants a diminué de 64 %. Si cette tendance marque un très net renversement de situation, il ne faut pas pour autant relâcher sa vigilance.

Les attaques Emotet sont de retour

D’après les récents rapports de Bleeping Computer, Threatpost et Sans Technology Institute, Emotet est revenu se venger à peine 10 mois après sa neutralisation en janvier 2021. Les auteurs des menaces distribuent activement des documents Microsoft Office, des archives ZIP et autres fichiers infectés chargés de code Emotet.

Il est encore trop tôt pour observer une tendance en termes de données, mais on note des changements significatifs comme le chiffrement de malwares et l’apparition d’une nouvelle stratégie avec notamment des attaques de phishing ciblées incluant des e-mails de chaîne, des avis de livraison, des documents fiscaux, des rapports comptables et même des invitations à des vacances festives.

En moins de 10 mois, notre travail d’éradication est presque complètement anéanti et nous sommes revenus au point de départ.

Comment se protéger des fichiers Office 365 malveillants

Même face à des menaces sérieuses, vous pouvez mettre en place plusieurs mesures simples pour protéger votre propre réseau et ses visiteurs. Vous pouvez commencer par modifier vos paramètres Office 365 afin de désactiver les scripts et les macros et actualiser vos endpoints et votre système d’exploitation via les correctifs Windows les plus récents.

Vous pouvez définir pour l’entreprise des règles qui interdisent le transfert de documents et d’autres fichiers via e-mail. Vous pouvez également superviser la distribution régulière de correctifs et mises à jour Microsoft. Notre temps est souvent compté, mais si nous oublions de surveiller le délai d’expiration de nos mises à jour, nous nous exposons littéralement à des attaques qui visent ces vulnérabilités.

Nous pouvons également prendre des mesures plus rigoureuses pour renforcer notre résistance aux attaques. L’année 2021 a été encore une belle année pour la technologie brevetée Real-Time Deep Memory Inspection™ (RTDMI) de SonicWall qui a permis de détecter 442 151 variantes de logiciels malveillants encore inconnues en 2021, soit une augmentation de 65 % par rapport aux chiffres de 2020 et une moyenne de 1 211 par jour.

Capture ATP, 100 % détection et 0 % faux positif

Le gros avantage de la technologie RTDMI est qu’elle est intégrée au service  SonicWall Capture Advanced Threat Protection (ATP). Et lors des tests tiers d’ICSA Labs réalisés au quatrième trimestre, cette technologie a permis d’identifier 100 % des menaces malveillantes sans générer aucun faux positif pendant cinq trimestres consécutifs.

Capture ATP avec technologie RTDMI utilise des fonctionnalités propriétaires d’inspection de la mémoire, de suivi des instructions du processeur et de machine learning pour détecter et limiter les cyberattaques encore inconnues, ainsi que les menaces qui ne présentent aucun comportement malveillant et qui utilisent le chiffrement pour dissimuler leur arsenal d’armes, des attaques que les sandbox classiques laisseront probablement passer.

Cela est particulièrement important dans des situations similaires à celles de Tom, étant donné que Trickbot et Emotet utilisent le chiffrement pour dissimuler leurs méfaits. Emotet peut également déterminer si l’exécution a lieu dans une machine virtuelle (VM) et reste dormant s’il détecte un environnement de sandbox.

This post is also available in: Anglais Portugais - du Brésil Deutsch Espagnol Italien