Ce n’est plus le cheval de Troie bancaire que l’on a connu mais plutôt désormais un vecteur d’attaques opéré par un groupe appelé TA542 lequel a des « clients » qui exploitent des trojans tels que Dridex, Qbot et TrickBot distribués sous forme de "seconde charge utile".
Emotet doit donc être détecté au plus tôt sur les postes infectés car sa présence laisse prévoir d’autres intrusions. Les premiers courriers d’hameçonnage contiennent la plupart du temps des fichiers joints de type PDF ou Word. Parfois le courriel contient seulement une URL qui pointe sur un document Word contenant des macros.
L’ANSSI a lancé une alerte le 7 septembre sur la recrudescence d’Emotet en France avec quelques recommandations :
► Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros.
► Limiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée.
► Déconnecter les machines compromises du réseau sans en supprimer les données.
► De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante., Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.
Pour Matt Walmsley, expert cybersécurité et directeur Europe de Vectra, « chercher à identifier et à comprendre qui sont les opérateurs d’Emotet ainsi que leurs motivations fait partie du puzzle et c’est le rôle des forces de l’ordre. Mais le plus utile et le plus durable pour la sécurité reste de comprendre les tactiques et les techniques qu'ils utilisent et d'anticiper la manière dont elles pourraient être atténuées pour protéger les cibles du Trojan.
« Dans le cas d'Emotet, il s'agirait notamment de détecter l'utilisation abusive de comptes à privilèges, les mouvements latéraux sur le réseau local (pour les PME par exemple) et les comportements signalant la présence d’outils de commande et de contrôle (C&C). Les équipes de sécurité doivent être de plus en plus agiles, car le temps est leur ressource la plus précieuse pour faire face aux attaques de logiciels malveillants. Une détection et une réponse précoces sont essentielles pour reprendre le contrôle et arrêter les attaquants avant qu'ils ne puissent se propager dans l'organisation, et qu’ils volent ou empêchent l’accès aux données. »