La chute d’Emotet, une belle opportunité pour assainir son SI
Une infection par Emotet passée inaperçue peut cacher bien plus et doit amener à s’interroger sur ses capacités de détection, voire au-delà, de réaction et de gestion de crise. Car le répit n’est ni complet ni éternel.
Les forces de l’ordre de plusieurs pays sont intervenues, au milieu de la dernière semaine du mois de janvier, de manière coordonnée, pour démanteler en profondeur le botnet Emotet. Le service Abuse.ch, qui suit de longue date les centres de commande et de contrôle du botnet, le confirme. Mieux encore, une nouvelle souche du maliciel, saine et contrôlée par les forces de l’ordre, a été déployée sur toutes les machines affectées et connectées à Internet. Et elle se désinstallera automatiquement le 25 avril. Et ce n’est pas une mince affaire : selon Check Point, Emotet a eu un impact sur 19 % des entreprises dans le monde entier… rien qu’en 2020.
Mais alors, serait-ce la fin hollywoodienne d’un mauvais film ? Pas vraiment. Comme n’ont pas manqué de le souligner le collectif Cryptolaemus et Marcus Hutchins, sur Twitter, avoir Emotet sur une machine, c’est la promesse, trop souvent tenue, d’y trouver des maliciels tels que IceID, Zloader, ou encore Qakbot, et Trickbot. Ces deux derniers conduisant souvent au déploiement des ransomwares Ryuk et Egregor.
Attention aux menaces dormantes
Chez I-Tracing, Laurent Besset, directeur de la cyberdéfense, s’inscrit sur la même ligne : « si Emotet avait déjà servi à redescendre d’autres malwares sur une partie des postes compromis, ceux-ci sont toujours compromis et continuent potentiellement de contacter les C2 propres aux malwares redescendus via Emotet ».
Chez Advens, David Q et Anthony Dechy ne disent pas autre chose. Pour eux, il convient de profiter de la période transitoire actuelle, marquée par des indicateurs bien connus, ne changeant pas chaque jour, pour partir à la chasse à la menace dans son système d’information : « cette étape de “threat hunting” va notamment passer par la vérification des logs et une analyse de l’état de santé du SI. Il est aussi conseillé de mettre en place des protections complémentaires, comme des fonctions de détection et de réaction avancées – très concrètement un EDR, et surtout un EDR piloté en interne ou par un tiers de confiance ».
Début novembre, les experts d’Advens, I-Tracing et Intrinsec nous avaient livré leursconseils pour détecter Trickbot avant qu’il ne soit trop tard. Ceux-ci restent pleinement d’actualité. Laurent Besset y revient d’ailleurs : « au niveau des SOC, il reste toujours la possibilité de détecter en amont, en se concentrant par exemple sur les campagnes de phishing – qui restent quand même assez basiques, entre grosses ficelles COVID, archives chiffrées avec mot de passe – ; une technique sur laquelle la sensibilisation est quand même abordable – et de détecter les infections en aval qui sont au final souvent plus impactantes ».
Se pencher sur la sécurité des comptes
Laurent Besset s’inquiète moins du stock de centaines de milliers d’identifiants de comptes compromis : « la réalité de la majorité des entreprises est que ce type de données se périme relativement vite avec la politique de renouvellement des mots de passe sur les comptes bureautiques […] Ils sont d’ailleurs en général exploités très rapidement par les acteurs qui les récupèrent ».
« Il reste intéressant pour les entreprises et les prestataires qui les accompagnent de vérifier si certaines de leurs adresses ne sont pas dans le pool découvert par la police néerlandaise. »
Laurent BessetDirecteur de la Cyberdéfense chez I-Tracing
Pour autant, selon lui, « il reste intéressant pour les entreprises et les prestataires qui les accompagnent de vérifier si certaines de leurs adresses ne sont pas dans le pool découvert par la police néerlandaise ».
Et réinitialiser préventivement les mots de passe n’est pas forcément une mauvaise idée… surtout si les interfaces externes – VPN, Microsoft 365 ou Google Workplace, etc. – ne sont pas protégées par une solution d’authentification à facteurs multiples (MFA).
Un maître-mot : détection
Ça, cela relève de la prévention. Mais le mot clé qui revient en boucle, dès que l’on évoque Emotet et les menaces qu’il a pu distribuer, c’est la détection. David Q et Anthony Dechy ne sont d’ailleurs pas tendres. Pour eux, c’est bien clair, découvrir que l’on a au moins un compte de messagerie compromis par Emotet, « cela traduit une faiblesse dans les défenses ».
Cette faiblesse peut « se trouver du côté de la prévention », mais surtout « au niveau de la détection et probablement autour de l’incapacité à détecter des comportements anormaux et/ou à détecter certains événements Windows. Sans revenir sur les EDR, on peut avoir un SOC trop tourné vers certains composants comme l’infrastructure, et qui ne regarde pas assez les postes de travail et les serveurs ou l’Active Directory… Du coup on pense être bon en détection, mais en fait on ne détecte pas assez ou pas bien ! »
Il y a donc des leçons à tirer dans cette période, avant l’extinction d’Emotet. Améliorer ses capacités de détection, mais aussi « se préparer à la réaction et à la gestion de crise », soulignent les experts d’Advens : « les malwares ne vont pas s’arrêter fin avril : Qakbot, Trickbot, Ryuk et les autres rôdent toujours… on en sait quelque chose ! »
