Bad Rabbit : Dix choses à savoir sur la dernière épidémie de ransomware

par

Ce que nous savons sur l’épidémie de ransomware Bad Rabbit

Une nouvelle campagne de ransomware a touché un certain nombre de cibles de premier plan en Russie et en Europe de l’Est.

Baptisé Bad Rabbit, le ransomware a commencé à infecter les systèmes le mardi 24 octobre, et la façon dont les organisations semblent avoir été touchées simultanément a immédiatement suscité des comparaisons avec les épidémies WannaCry et Petya de cette année.

Suite à l’épidémie initiale, il y a eu une certaine confusion sur ce qu’est exactement Bad Rabbit. Maintenant que la panique initiale est retombée, cependant, il est possible de creuser ce qui se passe exactement.

1. La cyberattaque a touché des organisations à travers la Russie et l’Europe de l’Est

Des organisations à travers la Russie et l’Ukraine – ainsi qu’un petit nombre en Allemagne, et en Turquie – ont été victimes du ransomware. Les chercheurs d’Avast disent avoir également détecté le malware en Pologne et en Corée du Sud.

La société russe de cybersécurité Group-IB a confirmé qu’au moins trois organisations de médias dans le pays ont été touchées par un malware de cryptage de fichiers, alors qu’au même moment, l’agence de presse russe Interfax a déclaré que ses systèmes ont été touchés par une « attaque de pirates » — et ont apparemment été mis hors ligne par l’incident.

D’autres organisations de la région, dont l’aéroport international d’Odessa et le métro de Kiev, ont également fait des déclarations pour dire qu’elles avaient été victimes d’une cyberattaque, tandis que le CERT-UA, l’équipe d’intervention en cas d’urgence informatique de l’Ukraine, a également affiché que le « début possible d’une nouvelle vague de cyberattaques contre les ressources d’information de l’Ukraine » s’était produit, alors que des rapports d’infections par Bad Rabbit commençaient à arriver.

Au moment de la rédaction de cet article, on pense qu’il y a près de 200 cibles infectées et indiquant qu’il ne s’agit pas d’une attaque comme l’était WannaCry ou Petya — mais elle cause toujours des problèmes aux organisations infectées.

« La prévalence totale des échantillons connus est assez faible par rapport aux autres souches « communes » », a déclaré Jakub Kroustek, analyste des logiciels malveillants chez Avast.

2. Il s’agit bien d’un ransomware

Ceux qui ont eu la malchance d’être victimes de l’attaque ont rapidement compris ce qui s’était passé car le ransomware n’est pas subtil – il présente aux victimes une note de rançon leur indiquant que leurs fichiers ne sont « plus accessibles » et que « personne ne pourra les récupérer sans notre service de décryptage ».

bad-rabbit-ransom-note-eset.png

Note de rançon de Bad Rabbit.

Image : ESET

Les victimes sont dirigées vers une page de paiement Tor et se voient présenter un compte à rebours. Payez dans les 40 premières heures environ, leur dit-on, et le paiement pour le décryptage des fichiers est de 0,05 bitcoin — environ 285 dollars. Ceux qui ne paient pas la rançon avant que le minuteur n’atteigne zéro sont informés que les frais augmenteront et qu’ils devront payer davantage.

badrabbit.png

Page de paiement de Bad Rabbit.

Image : Kaspersky Lab

Le chiffrement utilise DiskCryptor, qui est un logiciel open source légitime et utilisé pour le chiffrement complet des lecteurs. Les clés sont générées à l’aide de CryptGenRandom, puis protégées par une clé publique RSA 2048 codée en dur.

3. Il est basé sur Petya/Non Petya

Si la demande de rançon vous semble familière, c’est parce qu’elle est presque identique à celle que les victimes de l’épidémie Petya de juin ont vue. Les similitudes ne sont pas seulement cosmétiques non plus — Bad Rabbit partage également des éléments en coulisses avec Petya.

L’analyse des chercheurs de Crowdstrike a révélé que la DLL (bibliothèque de liens dynamiques) de Bad Rabbit et de NotPetya partage 67 % du même code, ce qui indique que les deux variantes de ransomware sont étroitement liées, potentiellement même l’œuvre du même acteur de menace.

4. Il se propage via une fausse mise à jour Flash sur des sites Web compromis

Le principal moyen de propagation de Bad Rabbit est le téléchargement drive-by sur des sites Web piratés. Aucun exploit n’est utilisé, mais les visiteurs des sites Web compromis – dont certains le sont depuis juin – sont informés qu’ils doivent installer une mise à jour Flash. Bien sûr, il ne s’agit pas d’une mise à jour Flash, mais d’un dropper pour l’installation malveillante.

eset-flash-update-bad-rabbit.png

Un site web compromis demandant à un utilisateur d’installer une fausse mise à jour Flash qui distribue Bad Rabbit.

Image : ESET

Les sites web infectés — principalement basés en Russie, Bulgarie et Turquie — sont compromis par l’injection de JavaScript dans leur corps HTML ou dans l’un de leurs fichiers .js.

5. Il peut se propager latéralement à travers les réseaux…

Tout comme Petya, Bad Rabbit vient avec un puissant tour dans sa manche en ce qu’il contient un composant SMB qui lui permet de se déplacer latéralement à travers un réseau infecté et de se propager sans interaction de l’utilisateur, disent les chercheurs de Cisco Talos.

Ce qui aide la capacité de Bad Rabbit à se propager est une liste de combinaisons simples de noms d’utilisateur et de mots de passe qu’il peut exploiter pour forcer brutalement son chemin à travers les réseaux. La liste de mots de passe faibles est constituée d’un certain nombre de suspects habituels de mots de passe faibles, tels que de simples combinaisons de chiffres et ‘password’.

6. … mais il n’utilise pas EternalBlue

Lorsque Bad Rabbit est apparu pour la première fois, certains ont suggéré que, comme WannaCry, il exploitait l’exploit EternalBlue pour se propager. Cependant, cela ne semble maintenant pas être le cas.

« Nous n’avons actuellement aucune preuve que l’exploit EternalBlue est utilisé pour propager l’infection », a déclaré Martin Lee, responsable technique de la recherche en sécurité chez Talos à ZDNet.

7. Il pourrait ne pas être indiscriminé

Au même moment après l’épidémie de WannaCry, des centaines de milliers de systèmes à travers le monde avaient été victimes du ransomware. Cependant, Bad Rabbit ne semble pas infecter indistinctement les cibles, les chercheurs ont plutôt suggéré qu’il n’infecte que des cibles sélectionnées.

« Nos observations suggèrent que cela a été une attaque ciblée contre les réseaux d’entreprise », ont déclaré les chercheurs de Kaspersky Lab.

Pendant ce temps, les chercheurs d’ESET disent que les instructions dans le script injecté dans les sites Web infectés « peuvent déterminer si le visiteur est intéressant et ensuite ajouter du contenu à la page » si la cible est jugée appropriée pour l’infection.

Cependant, à ce stade, il n’y a pas de raison évidente pour laquelle les organisations de médias et les infrastructures en Russie et en Ukraine ont été spécifiquement ciblées dans cette attaque.

8. On ne sait pas clairement qui est derrière

À l’heure actuelle, on ne sait toujours pas qui distribue le ransomware ou pourquoi, mais la similitude avec Petya a conduit certains chercheurs à suggérer que Bad Rabbit est par le même groupe d’attaque – bien que cela n’aide pas non plus à identifier l’attaquant ou le motif, car l’auteur de l’épidémie de juin n’a jamais été identifié.
Ce qui distingue cette attaque, c’est la façon dont elle a principalement infecté la Russie – les organisations cybercriminelles d’Europe de l’Est ont tendance à éviter d’attaquer la « mère patrie », ce qui indique qu’il est peu probable qu’il s’agisse d’un groupe russe.

9. Il contient des références à Game of Thrones

Qui que ce soit derrière Bad Rabbit, il semble être un fan de Game of Thrones : le code contient des références à Viserion, Drogon et Rhaegal, les dragons qui figurent dans la série télévisée et les romans dont elle s’inspire. Les auteurs du code ne font donc pas grand-chose pour changer l’image stéréotypée des hackers qui sont des geeks et des nerds.

kasperky-bad-rabbit-got-references.png

Références aux dragons de Game of Thrones dans le code.

Image : Kaspersky Lab

10. Vous pouvez vous protéger contre son infection

À ce stade, on ne sait pas s’il est possible de déchiffrer les fichiers verrouillés par Bad Rabbit sans céder et payer la rançon – bien que les chercheurs disent que ceux qui en sont victimes ne devraient pas payer, car cela ne fera qu’encourager la croissance du ransomware.

Un certain nombre de fournisseurs de sécurité disent que leurs produits protègent contre Bad Rabbit. Mais pour ceux qui veulent être sûrs de ne pas être potentiellement victimes de l’attaque, Kaspersky Lab indique que les utilisateurs peuvent bloquer l’exécution du fichier ‘c : \ Windows \ infpub.dat, C : \ Windows \ cscc.dat.’ afin d’empêcher l’infection.

Couverture précédente

Bad Rabbit ransomware : Une nouvelle variante de Petya se propage, avertissent les chercheurs

Mise à jour : Des organisations en Russie, en Ukraine et dans d’autres pays ont été victimes de ce qui serait une nouvelle variante de ransomware.

LIRE PLUS SUR LE RANSOMWARE

  • Après WannaCry, le ransomware va empirer avant de s’améliorer
  • Ransomware : Un guide exécutif sur l’une des plus grandes menaces du web
  • 6 conseils pour éviter les ransomwares après Petya et WannaCry (TechRepublic)
  • Votre incapacité à appliquer les mises à jour critiques de cybersécurité met votre entreprise en danger face au prochain WannaCry ou Petya
  • Comment se protéger du ransomware WannaCry (CNET)

.

Laisser un commentaire