Proofpoint met en garde contre le retour d'Emotet

Cyber-attaque basée sur de vrais courriels volés
Atalayar_Ciberseguridad

 -  

Après une brève pause dans la distribution, depuis octobre 2020, Emotet a de nouveau gagné en importance avec une campagne de plus de 100 000 messages en espagnol, anglais, allemand, italien et chinois destinés à diverses industries, telles que l'industrie manufacturière, la technologie et l'énergie.

"Il est remarquable qu'Emotet soit de retour en activité maintenant, quelques jours avant Noël, car ils cessent habituellement leurs activités du 24 décembre au début janvier, de sorte que cette fois-ci, la campagne pourrait être incroyablement courte et inhabituelle pour eux", déclare Sherrod DeGrippo, directeur principal de l'équipe de recherche et de détection de Proofpoint.

Du point de vue du volume d'activité, des centaines de milliers d'échantillons d'Emotet sont généralement détectés chaque jour pendant les campagnes, et les chiffres enregistrés lors de leur réapparition cette semaine vont dans ce sens. L'analyse initiale de cette nouvelle campagne par Proofpoint a révélé que le code de menace a peu changé, mais la société continue d'étudier dans quelle mesure il a été mis à jour. Les modifications de code sont courantes après une interruption importante et indiquent souvent que le groupe d'auteurs à l'origine de la menace reste actif pendant les périodes d'interruption pour améliorer son infrastructure.

Si nous nous concentrons sur les crochets utilisés par Emotet dans sa campagne de retour, nous constatons que le principal est le détournement de conversation, ce qui signifie que chaque courriel est constitué d'un vrai courrier volé.

Bien qu'Emotet ait historiquement eu un module pour voler les courriels d'autres victimes, il est difficile de dire d'où ils proviennent, car l'équipe de Proofpoint a découvert que les courriels volés ont été utilisés par différents auteurs au fil du temps.

"L'Emotet est connu comme l'une des menaces les plus perturbatrices au monde, et son retour à un moment où il n'est généralement pas actif est très frappant. Comme cela a toujours été une première étape pour le déploiement d'autres chevaux de Troie bancaires, il est essentiel que les organisations soient conscientes de son retour", conclut DeGrippo.

Du point de vue de l'atténuation des campagnes, Proofpoint recommande aux organisations d'utiliser une passerelle de messagerie sécurisée, intégrant un logiciel anti-malware efficace, pour s'assurer que ce type de menaces n'atteigne pas les boîtes de réception de leurs utilisateurs. En outre, il est essentiel de mettre en œuvre un programme d'éducation à la cybersécurité solide qui renforce la sensibilisation aux risques que présentent les liens et les pièces jointes dans ce type de messages.