Ouvrir dans mon navigateur

ALERTE SOC - CERT N1
RECRUDESCENCE D’ACTIVITÉ POUR LE VIRUS EMOTET EN FRANCE


Nous attirons votre attention sur un ciblage d’entreprises et d'administrations françaises par le code malveillant Emotet, signalé par l’ANSSI. Ce code malveillant est en effet susceptible d'impacter fortement vos activités. 

Qu'est-ce qu'Emotet ? 
Cheval de Troie bancaire identifié en 2014, Emotet s’est mué en cheval de Troie modulaire. Il est diffusé grâce à des campagnes massives de phishing, s'appuie sur des pièces jointes Word ou PDF malveillantes, et plus rarement sur des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.

Quels risques pour votre activité ? 
Emotet peut infecter votre système d’information grâce à des codes malveillants opérés par des groupes d’attaquants, clients de TA542. Il peut dans certaines situations installer des malwares sans aucune interaction humaine, en exploitant des vulnérabilités Windows. (Ex. : EternalBlue / DoublePulsar, responsables des attaques WannaCry et NoPetya). Il sera alors possible de télécharger des rançongiciels au sein du système d’information compromis.
 

Il peut, entre autres :

  • Récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;
  • Dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels
  •  Se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.
Nous vous recommandons : 
  • De lancer régulièrement un scan de votre réseau. Le logiciel IKare, disponible en version d'essai gratuite, permet de détecter les failles de type EternalBlue, sur laquelle peut se baser Emotet. 
  • D’effectuer les mises  à jour nécessaires pour corriger des failles de sécurité. 
  • De sensibiliser vos collaborateurs au téléchargement de pièces-jointes suspectes. 
  • Le recours à une solution anti-spam.
  • De renforcer les mots de passe à l’échelle de l’entreprise 
  • Le recours à un SIEM et aux technologies EDR pour protéger votre SI en assurant quotidiennement un niveau de sécurité adéquat. 
  • De déconnecter les machines compromises du réseau sans en supprimer les données. Une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante. Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.
Source de l'alerte : CERT-FR

-----------------------------------------------------------------------------------------------------
PROCEDURE D'ALERTE NIVEAU 1 - SOC ITRUST

Ce mail est un mail d'alerte provenant du centre de supervision sécurité d'ITrust. Nos équipes ont ou auraient détecté un événement important en lien avec vos activités ou qui pourrait impacter vos activités
La procédure d'alerte niveau 1 est appliquée aux entreprises ayant des relations commerciales avec ITrust. Il n'est pas nécessaire d'être client ITrust. Ce service est GRATUIT.
Des procédures d'alerte et de surveillance de niveau supérieur, et concernant l'analyse d'autres sources de données, sont délivrées aux clients d'ITrust abonnés au service.
Pour toute information, contactez nous au 05.67.34.67.80 ou à contact@itrust.fr

-----------------------------------------------------------------------------------------------------

Copyright 2020 | ITrust SA | SE DESINSCRIRE