Besançon et sa métropole visés par un logiciel malveillant
Il n’y a pas que les ransomwares qui s’en prennent aux municipalités. La ville de Besançon a publié sur son site un communiqué faisant état d’une attaque informatique ayant touché ses services le 4 septembre. Le communiqué indique que cette attaque a « par ailleurs touché plusieurs collectivités et administrations en France. »
Le fonctionnement de l’attaque décrit dans le communiqué « repose sur des logiciels malveillants inclus dans des mails, qui se propagent au sein du réseau informatique et dont l’un des objectifs est d’exfiltrer des données de la collectivité. » Si la ville indique que la propagation du logiciel malveillant sur les systèmes de la ville a été stoppée par ses équipes informatiques, elle concède que « des informations concernant notamment le contenu et les pièces jointes de courriels ainsi que des carnets d’adresses électroniques des agents ont été dérobées » et que celles-ci sont utilisées pour envoyer des mails piégés usurpant l’identité des agents pour propager le logiciel malveillant.
Détail non négligeable, le communiqué précise que : « ces courriels d’hameçonnage reprennent le nom de certains agents et font référence à des échanges passés, ce qui leur donne une certaine vraisemblance. Ils contiennent généralement des pièces jointes Word, PDF, ou autres formats malveillants. »
Un air de déjà vu
Au vu du timing de l’attaque et du mode opératoire décrit par le communiqué difficile de ne pas penser ici à Emotet. La mention des anciens fils de mail fait notamment penser à la technique du thread hijacking, l’une des techniques privilegiées par Emotet pour propager ses logiciels malveillants.
Le CERT FR avait publié une alerte au début du mois de septembre mentionnant une recrudescence d’activité des opérateurs du malware Emotet, indiquant alors que « l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. » Plusieurs victimes issues du monde judiciaire avaient alors signalé des attaques, mais la vague ne se limitait donc pas à ce seul secteur.
Emotet est un logiciel malveillant particulièrement actif qui joue le rôle de « loader » : celui-ci se propage sur différents réseaux et vise à infecter un maximum de postes informatiques, puis les opérateurs du malware revendent ces accès à d’autres groupes qui peuvent les exploiter pour installer d’autres logiciels malveillants comme des ransomware ou profiter de cet accès pour voler des données sensibles. Le bulletin d’alerte du CERT FR recense plusieurs outils visant à détecter et éradiquer les logiciels malveillants utilisés par le groupe Emotet.
