Nouvelle menace de taille dans le monde numérique. Ces dernières semaines, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a observé différentes vagues d’e-mails malveillants comprenant des documents Word infectés en pièce jointe. Les pirates tentent d’installer le maliciel Emotet, aussi connu sous le nom de Heodo.
Visiblement, ce petit programme a été détourné de son but premier. «Ce maliciel était originellement un cheval de Troie ciblant le “e-banking”. Actuellement, Emotet est utilisé pour envoyer du spam mais aussi pour télécharger des maliciels supplémentaires», indique MELANI dans un communiqué de presse diffusé mercredi.
Attention à l’ingénierie sociale!
Ce maliciel est plutôt évolué puisqu’il recourt à de l’ingénierie sociale. A travers des e-mails falsifiés au nom de collègues, partenaires commerciaux ou connaissances, il cherche à inciter le destinataire à ouvrir des documents Word et activer les macros. Il procède ainsi pour télécharger le cheval de Troie «Trickbot» et se propage à la manière d’un ver dans les réseaux d’entreprises à travers la faille connue du protocole SMB «EternalBlue.
“Le maliciel Emotet est également activement utilisé pour infecter les postes de travail et les réseaux d’entreprises avec un rançongiciel (ransomware) nommé ‘Ryuk’. Ce dernier chiffre les données stockées sur les postes de travail et les serveurs des entreprises victimes (sous Windows) et demande une rançon importante (200’000 francs et plus)”, croit savoir le centre de sécurité informatique.
MELANI recommande:
- Veillez à effectuer des sauvegardes régulières de vos données importantes sur un support externe (p. ex. un disque dur externe), qui sera connecté à l’ordinateur uniquement lors de la sauvegarde des données. Si cette condition n’est pas remplie, le risque existe qu’un ransomware chiffre les données de sauvegarde.
- Il convient de toujours garder à jour son système d’exploitation et toutes les applications (p. ex. Adobe Reader, Adobe Flash, Oracle Java etc.) installées sur sa machine, de manière automatique lorsque cela est possible
- La segmentation du réseau (séparation des réseaux clients/serveur/Domain-Controller tout comme les réseaux industriels de production avec une administration isolée) selon les différentes zones de confiance, d’application et/ou de région
- Le respect du principe de moindre privilège (“least privilege”) notamment sur les serveurs de fichier (aucun utilisateur ne devrait avoir accès à toutes les données, si ces accès ne sont pas nécessaires)
- Utiliser des appareils dédiés sans accès ou avec un accès limité à Internet pour la gestion des systèmes et les paiements
XS