La France, le Japon et la Nouvelle-Zélande mettent en garde contre un pic soudain d'attaques Emotet

Des sociétés de cybersécurité de France, du Japon et de Nouvelle-Zélande ont publié des alertes de sécurité au cours de la semaine précédente pour mettre en garde contre une forte augmentation des attaques de logiciels malveillants Emotet se concentrant sur leurs pays respectifs.

L’exercice Emotet décrit dans les alertes fait référence aux campagnes de spam par e-mail qui proviennent de l’infrastructure Emotet et des entreprises et des autorités spécialisées des trois pays.

La France, le Japon et la Nouvelle-Zélande mettent en garde contre un pic soudain d'attaques Emotet

Les organisations en difficulté qui ont obtenu les e-mails, les ont ouverts, puis les documents liés ont été susceptibles d’être contaminés par l’un des logiciels malveillants les plus dangereux actuellement.

Joseph Roosen, membre de Cryptolaemus, un groupe de chercheurs en sécurité qui observent les campagnes de malware Emotet, a informé ZDNet que le botnet Emotet a été particulièrement vivant ces dernières semaines, et particulièrement vivant dans les trois pays.

Par exemple, Roosen a déclaré que la Nouvelle-Zélande avait été étroitement ciblée par les opérateurs Emotet via des e-mails provenant de E3 (l’un des trois mini-botnets qui composent la plus grande infrastructure Emotet).

Par ailleurs, alors que l’E3 était occupé à spammer la Nouvelle-Zélande, Roosen a déclaré que E1 et E2 se concentraient sur le Japon. En réponse au CERT Japon, ces vagues de spam Emotet ont triplé la semaine dernière, obligeant les consultants à donner un signal d’alarme.

Image: CERT Japon

Cependant, alors que le Japon et la Nouvelle-Zélande ont été en dessous de fortes vagues de spam, les problèmes ont été plus légers en France, le lieu, a déclaré Roosen, les vagues de spam Emotet n’ont pas été sur les mêmes fourchettes que dans les deux pays.

Néanmoins, Emotet a infecté des ordinateurs sur le réseau du système judiciaire de Paris, faisant tourner les têtes, faisant la une des journaux et déclenchant l’état d’urgence parmi les officiers français.

Le ministère français de l’Intérieur a réagi en bloquant la livraison de tous les documents sur le lieu de travail (.doc) par e-mail, et la société française de cybersécurité ANSSI a adopté lundi une alerte de cybersécurité officielle, exhortant les entreprises à se concentrer sur le les e-mails qu’ils ouvrent.

Détournement de conversations

En réponse aux trois alertes, les agressions semblent avoir été identiques.

Les opérateurs Emotet ont utilisé leur astuce précédente pour infecter un patient, après quoi ils ont volé des fils de discussion plus anciens. Le groupe relancerait ensuite ces conversations précédentes, ajouterait des données d’enregistrements malveillants en tant que pièces jointes et ciblerait les nouveaux clients avec un dialogue d’apparence légitime.

Les clients faisant partie des conversations, ou celles ajoutées, ouvriraient généralement les pièces jointes de données malveillantes ajoutées au fil de discussion par curiosité et seraient contaminées.

Dans les dernières campagnes qui ont ciblé la France, le Japon et la Nouvelle-Zélande, Emotet semble avoir utilisé la paperasse Windows Phrase (.doc) et les données d’archives ZIP protégées par mot de passe parce que les pièces jointes malveillantes aux e-mails, les agressions qui ont été observées se concentrent sur les entreprises en différentes nations aussi efficacement.

Les trois alertes de sécurité comprennent des recommandations judicieuses pour quiconque est à la recherche de méthodes pour prévenir ou faire face aux infections Emotet, quelle que soit la nation d’origine.

À un niveau ou à un autre, Emotet changera en se concentrant sur différentes nations, car le botnet peut envoyer du spam dans plusieurs langues, en réponse à l’agence de cybersécurité Proofpoint.

Cependant, la recommandation parfaite d’Emotet que ZDNet peut donner concerne les programmes qui ont été découverts comme étant déjà contaminés. Dans ce cas, les entreprises devraient supprimer l’ensemble de leurs réseaux et auditer chaque système. C’est parce qu’Emotet a des options qui lui permettent de se déployer latéralement à toute la communauté, et Emotet peut généralement être utilisé pour obtenir différents logiciels malveillants, ainsi que des ransomwares. Mettre hors ligne les programmes contaminés ou toute la communauté alors que les programmes sont scannés et ré-imaginés est le moyen le plus simple de se tenir à l’écart d’un incident de sécurité beaucoup plus coûteux.

Tags: