Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - Recrudescence des activités liées à Emotet

Numéro : AL20-024
Date : 8 octobre 2020

PUBLIC

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJECTIF

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

SURVOL

Depuis juillet 2020, le Centre pour la cybersécurité a constaté une augmentation des activités malveillantes liées à des campagnes de distribution de maliciels par l’entremise d’Emotet. Selon les observations, Emotet est souvent associé aux maliciels Trickbot et Ryuk dans le cadre de tentatives de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. persistantes ciblant des systèmes informatiques au Canada.

DÉTAILS

Tout au long de 2019 et 2020, le Centre pour la cybersécurité a reçu des rapports faisant état de centaines de victimes canadiennes. Des compromissions par Emotet ont eu lieu dans toute une gamme de secteurs, notamment les organismes gouvernementaux, le secteur commercial, des services de police et des établissements d’enseignement. De plus, la Cybersecurity and Infrastructure Security Agency (CISA) [1] et l’Australian Cyber Security Centre (ACSC) [2] ont tous deux publié des avis sur le maliciel MalicielLogiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires. Emotet dans lesquels ils signalaient des observations semblables et une augmentation récente des activités.
 
Emotet est un réseau de zombies sophistiqué ayant infecté des centaines de milliers de systèmes à travers le monde. Après avoir infecté un système, Emotet peut installer sur celui-ci des maliciels additionnels, notamment Trickbot et Ryuk [3][4], ce qui peut donner lieu à l’exfiltration ExfiltrationRetrait non autorisé de données ou de fichiers d’un système par un intrus. de données ou à des tentatives d’extorsion. Le maliciel Emotet peut se propager au moyen de pourriels non ciblés envoyés en masse (comme des avis d’expédition ou des factures « impayées »), ou encore par l’entremise de courriels malveillants qui semblent être ciblés (harponnage HarponnageUtilisation de courriels trompeurs dans le but de persuader des membres d’une organisation de révéler leurs noms d’utilisateurs et leurs mots de passe. Contrairement à l'hameçonnage, qui nécessite l'envoi massif de courriels, le harponnage se fait à petite échelle et est bien ciblé. (Synonyme : hameçonnage ciblé) ).

Les courriels ciblés d’Emotet sont particulièrement efficaces, puisqu’ils semblent provenir d’une source de confiance, à savoir, dans plusieurs cas, d’une personne ayant déjà communiqué avec le destinataire auparavant. En outre, le Centre pour la cybersécurité a reçu des rapports dans lesquels il a été constaté que les campagnes d’envoi de courriels Emotet utilisent une technique selon laquelle des courriels malveillants sont insérés dans une chaîne de courriels existante avec des fichiers .zip protégés par mot de passe pour éviter d’être détectés par les systèmes de défense du réseau [5]. Il en résulte une communication fort convaincante que le destinataire ne remettra vraisemblablement pas en doute, l’amenant à exécuter le maliciel en ouvrant un PDF ou un document Microsoft Word qui prend en charge les macros, ou en cliquant sur un lien malveillant.

MESURES SUGGÉRÉES

Le Centre pour la cybersécurité recommande aux organismes et aux utilisateurs de suivre les mesures ci-dessous :

  • Suivez les conseils du Centre pour la cybersécurité pour renforcer votre cybersécurité (https://www.pensezcybersecurite.gc.ca).
  • Vérifiez tous les courriels entrants et sortants afin de détecter les menaces et de veiller à ce que des fichiers exécutables ou des documents avec macros ne se rendent pas aux utilisateurs finaux.
  • Faites preuve de prudence lorsque vous recevez un courriel inattendu ou un message contenant une pièce jointe ou une URL, même s’il provient d’une source de confiance. Si le courriel semble inhabituel, communiquez avec l’expéditeur pour en confirmer l’authenticité.
  • Évitez d’activer les macros contenues dans un document reçu par courriel.
  • Utilisez un logiciel antivirus et assurez-vous qu’il est mis à jour régulièrement.
  • Mettez en place des contrôles architecturaux pour la séparation et la protection du réseau.
  • Exécutez des sauvegardes quotidiennement de tous les systèmes essentiels et conservez des copies des supports de sauvegarde hors ligne et hors site. Testez périodiquement les processus de restauration de données à partir des sauvegardes, y compris les bases de données principales afin d’assurer l’intégrité des sauvegardes et des processus existants.
  • Assurez-vous que les plus récents correctifs ont été appliqués aux systèmes d’exploitation.
  • Vous pouvez également consulter les conseils et avis de nos partenaires dans l’alerte AA20-280A de la CISA [1] et le bulletin 2020-017 de l’ACSC [2].

Les organisations qui détecteraient des activités semblables à celles décrites dans la présente alerte sont invitées à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).

RÉFÉRENCES

[1] Alerte AA20-280A de la CISA portant sur le maliciel Emotet :
https://us-cert.cisa.gov/ncas/alerts/aa20-280a (en anglais seulement)

[2] Bulletin 2020-017 de l’ACSC sur la reprise de la campagne du maliciel Emotet :
https://www.cyber.gov.au/acsc/view-all-content/advisories/advisory-2020-017-resumption-emotet-malware-campaign (en anglais seulement)

[3] Alerte AL19-202 du Centre canadien pour la cybersécurité :
https://cyber.gc.ca/fr/avis/campagne-de-rancongiciel-ryuk

[4] Campagnes d’hameçonnage HameçonnageProcédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux. actives tirant parti du maliciel EMOTET :
https://cyber.gc.ca/fr/avis/campagnes-dhameconnage-actives-tirant-parti-du-maliciel-emotet

[5] Article de Bleeping Computer intitulé Emotet double blunder: fake ‘Windows 10 Mobile’ and outdated messages :
https://www.bleepingcomputer.com/news/security/emotet-double-blunder-fake-windows-10-mobile-and-outdated-messages/ (en anglais seulement)


NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Date de modification :