Serveur d'impression

Emotet Attack Shut Down a whole … – Serveur d’impression

Le 27 mai 2020 - 7 minutes de lecture

L'infection a commencé par un e-mail de phishing et s'est propagée dans toute l'organisation, surchauffant toutes les machines et inondant sa connexion Internet.

Microsoft a publié un rapport de cas détaillant sa réponse à une attaque massive d'Emotet qui a détruit tout un réseau d'entreprise, évitant les logiciels antivirus et surchauffant toutes ses machines Windows. L'infection a commencé lorsqu'un employé a ouvert une pièce jointe malveillante.

L'équipe de détection et de réponse de Microsoft (DART) rapporte qu'un attaquant a envoyé "un essaim" d'e-mails de phishing à des employés de Fabrikam, un alias qu'il a donné à l'entreprise cliente pour protéger son identité. Un destinataire a ouvert un fichier joint à l'e-mail; en conséquence, leurs informations d'identification ont été envoyées au serveur de commande et de contrôle des attaquants et ont accordé l'accès à la machine des intrus.

Cet accès était ce dont ils avaient besoin pour lancer leur plan plus large, qui était de diffuser Emotet à travers le réseau. Emotet, un logiciel malveillant automatisé, est utilisé pour collecter des données sur les entreprises et les individus pour le vol et la fraude via des chevaux de Troie bancaires et d'autres outils de vol d'informations d'identification. C'est un virus polymorphe, ce qui signifie qu'il se met à jour avec de nouvelles définitions tous les quelques jours, dit DART. Les attaquants ont fourni des mises à jour à partir de leur infrastructure C2 pour contourner les pare-feu et les outils antivirus.

Quatre jours après avoir obtenu des informations d'identification dans Fabrikam, les attaquants ont utilisé le compte infecté initial pour envoyer des e-mails de phishing à d'autres employés du réseau. De nombreux filtres de messagerie courants n'analysent pas les messages envoyés en interne, et les employés font généralement confiance aux e-mails envoyés depuis un compte interne. En conséquence, plus d'employés ont cliqué sur des pièces jointes malveillantes et téléchargé des logiciels malveillants.

"Travaillant via des comptes d'administrateur, il a propagé des chevaux de Troie voleurs d'informations d'identification sur les comptes des employés et les a utilisés pour s'authentifier au sein du réseau", expliquent les responsables de DART dans leur étude de cas. "Fabrikam n'avait aucun outil de visibilité du réseau en place, donc pendant les vingt-quatre heures qui ont suivi, Emotet s'est frayé un chemin à travers son infrastructure sans lever de drapeau rouge."

Au huitième jour, les opérations informatiques de l'organisation avaient cessé. Les ordinateurs se sont figés alors que leur CPU a atteint son maximum. Le virus a menacé tous ses systèmes, y compris un réseau de 185 caméras de surveillance. Son service financier n'a pas pu finaliser les transactions externes; les organisations partenaires n'ont pas pu accéder aux bases de données Fabrikam. Le service informatique, qui ne pouvait pas dire s'il était confronté à une attaque externe ou à un virus interne, s'est précipité pour enquêter mais n'a pas pu accéder aux comptes réseau: une attaque par déni de service distribué (DDoS) a inondé le réseau de trafic.

"Emotet a consommé la bande passante du réseau jusqu'à ce que son utilisation devienne pratiquement impossible", rapporte DART. "Même les courriels ne pouvaient pas se faufiler."

Reconnaissant que le problème échappait à leur contrôle, Fabrikam a appelé DART huit jours après l'e-mail de phishing initial. Un responsable avait été informé que l'organisation disposait d'un "système étendu pour prévenir les cyberattaques", mais le virus avait éludé tous leurs pare-feu et logiciels antivirus. Un groupe de spécialistes DART s'est rendu sur place avec Fabrikam; d'autres membres ont commencé à aider à distance.

Étant donné que les systèmes existants de l'organisation n'accordaient pas de visibilité à DART sur les opérations des attaquants, ils ont déployé des licences d'essai de Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection services et d'autres outils de détection de logiciels malveillants Microsoft. Les spécialistes ont appris qu'ils devaient apporter des modifications architecturales pour arrêter la propagation d'Emotet et mettre en place des mesures administratives pour le contenir et l'éliminer. Ils ont implémenté des contrôles d'actifs et créé des écarts entre les actifs dotés de privilèges d'administrateur dans l'environnement.

"Ces zones tampons contenaient suffisamment de virus pour le supprimer avec un logiciel antivirus", rapportent les responsables de DART. "Avec l'architecture en place et les outils de détection déployés, DART a téléchargé les signatures antivirus et éradiqué le virus Emotet."

DART signale des erreurs dans les meilleures pratiques de sécurité de Fabrikam qui ont contribué au problème. Les filtres d'e-mails n'ont pas signalé les e-mails internes, donnant aux attaquants la liberté de diffuser Emotet sans déclencher aucune alerte. Les outils de visibilité du réseau auraient pu détecter le virus très tôt. De plus, la propagation peut avoir été ralentie et les comptes de grande valeur protégés si les répertoires administratifs de l'organisation n'avaient pas été laissés ouverts.

Bien que Microsoft n'ait pas précisé la société affectée dans son étude de cas, un rapport de ZDNet souligne que les détails de cette attaque correspondent à un incident de cybersécurité affectant la ville d'Allentown, en Pennsylvanie, en février 2018. Au moment de l'attaque, un Le rapport d'AP a déclaré que l'infection Emotet a affecté les machines gouvernementales et a commencé à se répliquer et à voler les informations d'identification. La ville aurait payé à Microsoft un montant initial de 185 000 $ en frais d'intervention d'urgence pour contenir le virus, ce qui devrait coûter entre 800 000 $ et 900 000 $ en frais de récupération.

Contenu connexe:

Kelly Sheridan est rédactrice en chef à Dark Reading, où elle se concentre sur les actualités et l'analyse de la cybersécurité. Elle est une journaliste spécialisée en technologie des affaires qui a précédemment travaillé pour InformationWeek, où elle a couvert Microsoft, et Insurance & Technology, où elle a couvert les finances … Voir la biographie complète

Lecture recommandée:

Plus d'informations

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.