Sélection de la langue

Alerte - Recrudescence des activités liées à Emotet

Numéro : AL20-024
Date : 8 octobre 2020

PUBLIC

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJECTIF

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

SURVOL

Depuis juillet 2020, le Centre pour la cybersécurité a constaté une augmentation des activités malveillantes liées à des campagnes de distribution de maliciels par l’entremise d’Emotet. Selon les observations, Emotet est souvent associé aux maliciels Trickbot et Ryuk dans le cadre de tentatives de compromission persistantes ciblant des systèmes informatiques au Canada.

DÉTAILS

Tout au long de 2019 et 2020, le Centre pour la cybersécurité a reçu des rapports faisant état de centaines de victimes canadiennes. Des compromissions par Emotet ont eu lieu dans toute une gamme de secteurs, notamment les organismes gouvernementaux, le secteur commercial, des services de police et des établissements d’enseignement. De plus, la Cybersecurity and Infrastructure Security Agency (CISA) [1] et l’Australian Cyber Security Centre (ACSC) [2] ont tous deux publié des avis sur le maliciel Emotet dans lesquels ils signalaient des observations semblables et une augmentation récente des activités.
 
Emotet est un réseau de zombies sophistiqué ayant infecté des centaines de milliers de systèmes à travers le monde. Après avoir infecté un système, Emotet peut installer sur celui-ci des maliciels additionnels, notamment Trickbot et Ryuk [3][4], ce qui peut donner lieu à l’exfiltration de données ou à des tentatives d’extorsion. Le maliciel Emotet peut se propager au moyen de pourriels non ciblés envoyés en masse (comme des avis d’expédition ou des factures « impayées »), ou encore par l’entremise de courriels malveillants qui semblent être ciblés (harponnage).

Les courriels ciblés d’Emotet sont particulièrement efficaces, puisqu’ils semblent provenir d’une source de confiance, à savoir, dans plusieurs cas, d’une personne ayant déjà communiqué avec le destinataire auparavant. En outre, le Centre pour la cybersécurité a reçu des rapports dans lesquels il a été constaté que les campagnes d’envoi de courriels Emotet utilisent une technique selon laquelle des courriels malveillants sont insérés dans une chaîne de courriels existante avec des fichiers .zip protégés par mot de passe pour éviter d’être détectés par les systèmes de défense du réseau [5]. Il en résulte une communication fort convaincante que le destinataire ne remettra vraisemblablement pas en doute, l’amenant à exécuter le maliciel en ouvrant un PDF ou un document Microsoft Word qui prend en charge les macros, ou en cliquant sur un lien malveillant.

MESURES SUGGÉRÉES

Le Centre pour la cybersécurité recommande aux organismes et aux utilisateurs de suivre les mesures ci-dessous :

  • Suivez les conseils du Centre pour la cybersécurité pour renforcer votre cybersécurité (https://www.pensezcybersecurite.gc.ca).
  • Vérifiez tous les courriels entrants et sortants afin de détecter les menaces et de veiller à ce que des fichiers exécutables ou des documents avec macros ne se rendent pas aux utilisateurs finaux.
  • Faites preuve de prudence lorsque vous recevez un courriel inattendu ou un message contenant une pièce jointe ou une URL, même s’il provient d’une source de confiance. Si le courriel semble inhabituel, communiquez avec l’expéditeur pour en confirmer l’authenticité.
  • Évitez d’activer les macros contenues dans un document reçu par courriel.
  • Utilisez un logiciel antivirus et assurez-vous qu’il est mis à jour régulièrement.
  • Mettez en place des contrôles architecturaux pour la séparation et la protection du réseau.
  • Exécutez des sauvegardes quotidiennement de tous les systèmes essentiels et conservez des copies des supports de sauvegarde hors ligne et hors site. Testez périodiquement les processus de restauration de données à partir des sauvegardes, y compris les bases de données principales afin d’assurer l’intégrité des sauvegardes et des processus existants.
  • Assurez-vous que les plus récents correctifs ont été appliqués aux systèmes d’exploitation.
  • Vous pouvez également consulter les conseils et avis de nos partenaires dans l’alerte AA20-280A de la CISA [1] et le bulletin 2020-017 de l’ACSC [2].

Les organisations qui détecteraient des activités semblables à celles décrites dans la présente alerte sont invitées à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).

RÉFÉRENCES

[1] Alerte AA20-280A de la CISA portant sur le maliciel Emotet :
https://us-cert.cisa.gov/ncas/alerts/aa20-280a (en anglais seulement)

[2] Bulletin 2020-017 de l’ACSC sur la reprise de la campagne du maliciel Emotet :
https://www.cyber.gov.au/acsc/view-all-content/advisories/advisory-2020-017-resumption-emotet-malware-campaign (en anglais seulement)

[3] Alerte AL19-202 du Centre canadien pour la cybersécurité :
https://cyber.gc.ca/fr/avis/campagne-de-rancongiciel-ryuk

[4] Campagnes d’hameçonnage actives tirant parti du maliciel EMOTET :
https://cyber.gc.ca/fr/avis/campagnes-dhameconnage-actives-tirant-parti-du-maliciel-emotet

[5] Article de Bleeping Computer intitulé Emotet double blunder: fake ‘Windows 10 Mobile’ and outdated messages :
https://www.bleepingcomputer.com/news/security/emotet-double-blunder-fake-windows-10-mobile-and-outdated-messages/ (en anglais seulement)


NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Date de modification :