Microsoft : Le malware Emotet paralyse un réseau entier en surchauffant des PC

Le groupe de solutions de cybersécurité de Microsoft, l’équipe de détection et de réponse (DART), a déclaré jeudi que l’ensemble du réseau informatique de son client avait été paralysé par des ordinateurs surchauffés en raison d’un malware Emotet après qu’un de ses employés ait été trompé en ouvrant une pièce jointe d’un e-mail de phishing.

Le malware a ensuite infecté les systèmes de Fabrikam (un nom fictif utilisé par Microsoft pour la victime dans son étude de cas) en volant les identifiants de compte administrateur pour s’authentifier sur de nouveaux systèmes.

Il a ensuite effectué des mouvements latéraux en infectant d’autres systèmes sur le même réseau. Le virus a gelé les services essentiels en saturant l’utilisation du CPU sur les appareils Windows.

Lire aussi - Le malware Emotet peut se propager via les réseaux Wi-Fi

« Nous sommes heureux de partager le rapport de cas DART 002 : Arrêt opérationnel complet. Dans le rapport 002, nous couvrons un engagement de réponse à un incident réel où un malware polymorphe s’est propagé à travers l’ensemble du réseau d’une organisation », indique l’annonce de Microsoft DART.

« Après qu’un e-mail de phishing ait livré Emotet, un virus polymorphe qui se propage via des partages réseau et des protocoles hérités, le virus a arrêté les services essentiels de l’organisation. Le virus a évité la détection par les solutions antivirus grâce à des mises à jour régulières d’une infrastructure de commande et de contrôle (C2) contrôlée par l’attaquant, et s’est propagé à travers les systèmes de l’entreprise, provoquant des pannes de réseau et arrêtant des services essentiels pendant près d’une semaine. »

Selon Microsoft, Fabrikam a fait appel à DART huit jours après que l’employé ait ouvert l’e-mail de phishing. À ce moment-là, l’ensemble des opérations informatiques de Fabrikam était à l’arrêt, y compris le réseau de 185 caméras de surveillance en raison du malware Emotet.

Les experts ont observé que les PC surchauffaient, se figeaient et redémarraient à cause des écrans bleus, tandis que les connexions Internet ralentissaient légèrement en raison d’Emotet consommant toute la bande passante.

« Lorsque le dernier de leurs machines a surchauffé, Fabrikam savait que le problème avait officiellement échappé à tout contrôle. ‘Nous voulons arrêter cette hémorragie’, a déclaré un responsable par la suite », indique le rapport d’étude de cas DART.

« On lui avait dit que l’organisation avait un système étendu pour prévenir les cyberattaques, mais ce nouveau virus avait contourné tous leurs pare-feu et logiciels antivirus. Maintenant, alors qu’ils regardaient leurs ordinateurs afficher des écrans bleus un par un, ils n’avaient aucune idée de ce qu’il fallait faire ensuite. »

Le malware a utilisé les ordinateurs compromis de l’employé pour lancer une attaque par déni de service distribué (DDoS) et submerger son réseau.

« Les responsables ont annoncé que le virus menaçait tous les systèmes de Fabrikam, même son réseau de 185 caméras de surveillance », indique le rapport de DART.

« Son département financier ne pouvait pas effectuer de transactions bancaires externes, et les organisations partenaires ne pouvaient pas accéder à des bases de données contrôlées par Fabrikam. C’était le chaos.

« Ils ne pouvaient pas dire si un cyberattaque externe d’un hacker avait causé l’arrêt ou s’ils avaient affaire à un virus interne. Cela aurait aidé s’ils avaient pu même accéder à leurs comptes réseau.

« Emotet a consommé la bande passante du réseau jusqu’à ce qu’il soit pratiquement impossible de l’utiliser pour quoi que ce soit. Même les e-mails ne pouvaient pas passer. »

Les experts de Microsoft ont réussi à contrôler l’infection par Emotet en utilisant des contrôles d’actifs et des zones tampons qui ont isolé les actifs avec des privilèges administratifs. Ils ont complètement éliminé l’infection par Emotet après avoir téléchargé des signatures antivirus et déployé des licences d’essai de Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection et d’autres outils de détection de malware spécifiques de Microsoft.

De plus, des ingénieurs reverse sur site ont réparé le Microsoft System Center Configuration Manager, permettant à Fabrikam de se remettre sur pied.

Microsoft recommande aux utilisateurs d’utiliser des outils de filtrage des e-mails comme Office 365 Advanced Threat Protection (ATP) pour détecter et arrêter la propagation du malware Emotet, ainsi que d’utiliser l’authentification multi-facteurs (MFA) pour prévenir de telles attaques.