Le cheval de Troie Emotet se propage maintenant par Wi-Fi
L’entreprise de cybersécurité BinaryDefense a découvert récemment ce qui semble être le plus dangereux module d’Emotet.
Il ne fait aucun doute que le trojan Emotet est aujourd’hui la principale menace parmi les logiciels malveillants, tant en termes de quantité (en raison de ses énormes campagnes de spam) que de risque (en raison de son historique : des gangs de ransomware ont pu acheter eux-mêmes l’accès à des réseaux infectés).
Historiquement, Emotet mettait le pied dans une entreprise grâce à des employés négligents qui ouvraient des documents Office piégés qu’ils avaient reçus par e-mail. Une fois le poste infecté, le cheval de Troie Emotet téléchargeait différents modules afin de se propager latéralement au sein d’un réseau.
Ces dernières années, ce « mouvement latéral » était limité, Emotet étant confiné aux seuls ordinateurs et serveurs se trouvant sur le même réseau. Les entreprises ayant mis en œuvre une segmentation de réseau appropriée étaient généralement en mesure de limiter la portée d’une attaque Emotet à quelques départements ou à quelques ordinateurs.
Le nouveau « Wi-Fi Spreader » de Emotet
Toutefois, dans un billet publié la semaine dernière, des chercheurs en sécurité de BinaryDefense ont fait une découverte assez importante qui risque de causer un peu de stress à de nombreux administrateurs système dans un avenir proche. À savoir, un module Emotet qui, dans certaines circonstances, peut passer d’un réseau Wi-Fi à ses réseaux voisins.
Le nouveau module de propagation par Wi-Fi d’Emotet, de son nom « Wi-Fi Spreader », ne garantit pas un taux d’infection de 100 %. En effet, il repose sur l’utilisation de mots de passe faibles sur les réseaux Wi-Fi. Cependant, il ouvre un nouveau vecteur d’attaque au sein des entreprises infectées que les pirates d’Emotet peuvent exploiter pour maximiser sa portée. Ainsi, les ordinateurs infectés par Emotet ne constituent désormais plus seulement un danger pour le réseau interne de l’entreprise infectée, mais aussi pour les réseaux de toute entreprise se trouvant à proximité.
Alors si une personne proche de vous (en termes de localisation) a été infectée et que vous utilisez un mot de passe Wi-Fi non sécurisé, vous risquez de recevoir un colis indésirable signé Emotet.
Le fonctionnement du module
Avant de nous intéresser à l’importance du module et de ses conséquences pour les entreprises, voici comment fonctionne le « Wi-Fi Spreader » d’Emotet :
Emotet infecte un hôte
Le malware télécharge et fait fonctionner le module Wi-Fi Spreader
Wi-Fi Spreader répertorie tous les appareils Wi-Fi activés chez l’hôte (généralement le NIC WLAN).
Le module extrait la liste de tous les réseaux Wi-Fi accessibles localement.
Wi-Fi Spreader attaque frontalement chaque réseau Wi-Fi en utilisant deux listes internes de mots de passe simples à deviner.
Si l’attaque réussit, le module a désormais un accès direct à un autre réseau, mais il ne peut pas encore s’introduire sur un serveur ou un poste de travail du nouveau réseau.
Alors, il passe à une seconde attaque frontale en essayant de deviner les noms d’utilisateur et les mots de passe des serveurs et des appareils connectés à ce réseau Wi-Fi.
Si la deuxième attaque réussit, Emotet s’infiltre sur un deuxième réseau, et le cycle d’infection du logiciel malveillant recommence depuis le début.
Selon BinaryDefense, ce module de diffusion par Wi-Fi ne fonctionne pas sous Windows XP SP2 et Windows XP SP3, le module utilisant des fonctions trop récentes. Ils datent le module de diffusion Wi-Fi du 16 avril 2018, ce qui suggère qu’il a été développé il y a presque deux ans. Malgré tout, il semble qu’il n’ait été largement déployé que récemment. Ou en tout cas il n’a pas été détecté jusqu’à la découverte de cette équipe.
La découverte de ce nouveau module Emotet est une nouvelle importante à plusieurs niveaux : elle concerne la sécurité du réseau Wi-Fi bien sûr, mais aussi les espaces de travail partagés et le travail de réponse aux incidents.
Sécuriser le réseau Wi-FiIl
n’est pas rare que les entreprises utilisent un mot de passe assez simple à retenir, le but étant de maintenir la connectivité internet disponible pour tous les employés. Malheureusement, les administrateurs système ne peuvent plus se permettre d’utiliser des mots de passes non sécurisés, depuis la découverte de ce nouveau module qui peut très vite se propager de réseau en réseau.
Faire attention aux espaces de travail partagés
Toutes les entreprises ne disposent pas d’un siège social qui leur est propre. Or, si vous travaillez dans un immeuble partagé entre plusieurs sociétés, avec des réseaux Wi-Fi à portée, votre entreprise est potentiellement en danger, même si aucun de vos collaborateurs n’a été en contact direct avec Emotet.
Réponse à incidentLe fait qu’Emotet arrive sur le réseau via le Wi-Fi va très probablement compliquer de nombreuses enquêtes sur les réponses aux incidents, le Wi-Fi n’étant pas un vecteur d’attaque traditionnel, ni pour Emotet ni pour les autres malwares.
Sécuriser les mots de passe Wi-Fi
Souvent, les entreprises utilisent des mots de passe non sécurisés pour les réseaux Wi-Fi internes, car elles savent que seuls les employés pourront y accéder. Il faut être conscient qu’avec cette nouveauté du logiciel malveillant Emotet, les mots de passe basiques deviennent une faille de sécurité.
BinaryDefense a insisté dans son rapport publié la semaine dernière sur le fait qu’Emotet a largement développé ses capacités d’attaque.BinaryDefense conseille aux entreprises de prendre des précautions en sécurisant les réseaux Wi-Fi avec des mots de passe forts, car c’est le moyen le plus simple de se défendre contre le nouveau module Wi-Fi d’Emotet.
Pour plus d’information : https://www.zdnet.fr/actualites/le-cheval-de-troie-emotet-se-propage-maintenant-par-wi-fi-39898959.htm
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram