Emotet : les mille et une façons de mettre un SI à genoux
Emotet est aujourd’hui l’un des programmes malveillants les plus virulents, dont les fonctionnalités et le mode d’opération sont étudiés de près par la communauté des chercheurs en sécurité. L’équipe DART de Microsoft, spécialisée dans la réponse à incident, a publié la semaine dernière un rapport décrivant le déroulé d’une attaque subie par l’un de ses clients, désigné sous le nom factice de Fabrikam. L’équipe a commencé depuis le début d’année à publier plusieurs rapports retraçant certaines de leurs interventions.
Selon Microsoft, l’attaque a débuté de façon assez traditionnelle par le phishing d’un employé de la société, qui a eu le malheur de cliquer sur une pièce jointe contenant un exécutable malveillant. Cette première étape a permis aux attaquants de prendre le contrôle du poste, puis de l’utiliser pour envoyer d’autres e-mails de phishing aux employés de la société, cette fois en profitant de l’identité de l’utilisateur compromis pour contourner les outils de sécurité. Au cours des jours qui ont suivis la compromission initiale, les attaquants sont ainsi parvenus à diffuser un malware de vol d’identifiants et à obtenir les identifiants de connexions de plusieurs autres utilisateurs, ce qui leur a permis de facilement diffuser leur logiciel malveillant sur les machines et serveurs du réseau.
Un DDoS pas comme les autres
Six jours après la compromission initiale, les attaquants passent à l’action : « ce samedi-là, la plupart des bureaux de Fabrikam étaient fermés pour le week-end, personne n’a donc remarqué le gel des premières machines dont les processeurs étaient poussés au maximum. Puis l’effet domino a joué, et les systèmes critiques ont commencé à planter », explique l’équipe DART de Microsoft. Les équipes de Microsoft, appelées à la rescousse, interviennent huit jours après l’infection.
Le réseau est alors complètement saturé et les appareils dysfonctionnent, ce qui complique considérablement la tâche de l’équipe informatique qui ne parvient pas à déterminer le type d’attaque à laquelle elle a à faire. Il s’agit pourtant bien ici d’une attaque de type DDoS (Déni de service distribué). Simplement, contrairement au schéma le plus courant de ce type d’attaque, où de nombreuses machines situées à l’extérieur du réseau vont envoyer du trafic malveillant en direction de celui-ci afin de saturer son accès à Internet, les attaquants ont ici fait plier le réseau en utilisant les machines du réseau elles-mêmes, infectées au cours de la semaine passée par ses logiciels malveillants.
La phase de déplacement latéral et de vol des identifiants d’accès des premiers jours leur a permis de prendre le contrôle de nombreuses machines, et de conserver cet accès par la suite, ce qui permettait de réinfecter rapidement les machines ayant subi une désinfection et de continuer à paralyser le système informatique en saturant complètement la bande passante et les capacités de calcul des machines.
Segmenter et désinfecter
Pour résoudre le problème, l’équipe de Microsoft dépêchée sur place a commencé par déployer ses outils de sécurité maison (Defender ATP, Azure Security Scan, Azure ATP) afin de bénéficier d’une meilleure visibilité sur ce qu’il se passait sur le réseau de l’entreprise. L’équipe de Microsoft a ensuite restructuré l’architecture du réseau, afin d’isoler les machines disposant de hauts privilèges sur le réseau du reste du parc, permettant de limiter les réinfections et de repartir sur une base saine. L’équipe explique avoir également mis en place des outils d’analyse du trafic e-mail sur le réseau interne de l’entreprise, ainsi que des solutions d’authentification multi-facteurs pour limiter l’impact du vol d’identifiant qui avait permis aux attaquants de se maintenir sur le réseau.
Microsoft ne donne pas de détails sur l’identité de la victime ou la date de l’attaque. Selon ZDNet.com, la description donnée (et notamment la mention des 185 caméras de surveillance mises hors service) par l’entreprise correspondrait néanmoins à l’attaque informatique ayant touchée la ville américaine d’Allentown en février 2018 aux Etats Unis. La ville avait estimé le coût de remise en marche de ses systèmes à un million de dollars, dont 185 000 dollars pour régler la facture de l’équipe d’intervention de Microsoft.
Si Emotet est aujourd’hui fréquemment associé aux attaques de ransomware, le malware a beaucoup évolué depuis ses débuts, où il était utilisé comme un malware bancaire. Emotet est un logiciel malveillant complexe et évolutif, qui reçoit des mises à jour fréquentes introduisant de nouvelles fonctionnalités.
