Cybermalveillance en santé : alerte aux courriels piégés par le maliciel Emotet

14 septembre 2020

Cybermalveillance en santé : alerte aux courriels piégés par le maliciel Emotet

Le portail d’accompagnement à la cybersécurité des structures de santé (ACSS), mis en place par le ministère des Solidarités et de la Santé, alerte les établissements de santé sur des actes de cybermalveillance impliquant le maliciel Emotet.

« Plusieurs établissements de santé ont été victimes d’actes de cybermalveillance impliquant le maliciel Emotet », alerte le 7 septembre 2020 le portail d’accompagnement à la cybersécurité des structures de santé (ACSS). Mis en place en 2017 par le ministère des Solidarités et de la Santé, ce dispositif traite des signalements des incidents de sécurité des systèmes d’information (SSI) relatifs aux établissements de santé et aux organismes et services exerçant des activités de prévention, de diagnostic ou de soins. Il les accompagne également dans leur démarche.

« Emotet est un cheval de troie bancaire apparu en 2014 et est associé au botnet éponyme », explique l’ACSS.  « Mais il peut être utilisé à d’autres fins (rançongiciel, etc.) depuis 2017, date à laquelle il est devenu un loader de seconde charge utile. » 

Des courriels piégés

Il se diffuse par le biais de courriels piégés : généralement dans des documents Microsoft Office embarquant des macros ou des template malveillantes. Et il « a la faculté de lire les courriels de ses victimes et de se resservir de leurs contenus pour donner une apparence légitime aux courriels d’hameçonnage qu’il renvoie ». 

Emotet exploite fréquemment les boîtes courriel auxquelles il a accès pour se rediffuser à une liste de destinataires. Une fois déployé, il sert – fréquemment mais pas systématiquement – à télécharger une seconde charge malveillante, de nature variable.

« Parmi les codes malveillants distribués en tant que seconde charge utile par Emotet, se trouvent généralement d’autres chevaux de Troie bancaires :  TrickBot, Gootkit, IcedID, BokBot, Dridex, DoppelDridex, QakBot, etc », explique l’ACSS. 

Ces derniers peuvent à leur tour distribuer d’autres charges utiles telles que des rançongiciels. « Le code est connu pour se reposer sur un grand nombre de domaine et d’IP de C2 changeant régulièrement », précise l’ACSS. Il est donc particulièrement difficile d’en bloquer la totalité.

Pour en savoir plus : rendez-vous sur le portail de l’ACSS

Mise à disposition d’un espace sécurisé d’échanges pour les correspondants via le portail cyberveille-sante.gouv.fr.

Ghislaine Trabacchi

A lire aussi

 
Cyber 4 Healthcare : une assistance de cybersécurité gratuite pour le monde de la santé

Cyber 4 Healthcare : une assistance de cybersécurité gratuite pour le monde de la santé

Pendant la crise sanitaire du Covid-19, des établissements de santé ont dû faire face à des attaques informatiques. Face à ce constat, CyberPeace Institute lance…

Lire la suite