Une recrudescence d’activité malveillante

Une recrudescence d’activité malveillante reposant sur le cheval de Troie Emotet est en cours et vise les collectivités territoriales françaises.

Depuis quelques semaines, ce code malveillant s’insère au sein d’une campagne de piratage capable de causer des dégâts allant du vol de mot de passe au déploiement d’un rançongiciel.

Observé pour la première fois mi-2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un cheval de Troie modulaire. Ses différents modules actuels lui permettent :

  • de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;

  • de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ;

  • de se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.

Le code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.

Ces campagnes d’attaques touchent tous types de secteurs d’activités à travers le monde. (Source : ANSSI)

L’ANSSI, l’agence française de cybersécurité a publié un bulletin à l’ensemble de l’administration pour prévenir de la campagne en cours, que nous vous invitons à consulter en cliquant ici.

 

Les bonnes pratiques à adopter

Nous vous rappelons les bonnes pratiques à adopter face à une attaque :

  • supprimer les courriers douteux,
  • bloquer l’expéditeur dans les paramétrages de votre messagerie électronique
  • et surtout ne pas ouvrir les pièces jointes qui peuvent être potentiellement infectées.

Veillez à la protection de votre ordinateur en effectuant les mises à jour requises et pensez à activer un antivirus.

 

Un renforcement de la cybersécurité

Pour faire face à cette attaque nationale, les équipes du SICTIAM travaillent au renforcement de la cybersécurité de vos e-mails. Des règles de blocages et une veille renforcée ont été mises en place pour limiter au maximum la réception des e-mails frauduleux.

Nos équipes restent à disposition pour toute information supplémentaire.