Bad Rabbit: le ransomware frappe de nouveau

0

Ce n’était qu’une question de temps que quelqu’un prenne les idées de WannaCry et NotPetya et les utilise pour attaquer d’autres victimes. Le dernier ransomware, connu sous le nom de Bad Rabbit, pourrait être la plus importante depuis celle de juin et NotPetya qui avait d’abord touché ces deux pays avant de faire le tour du monde.

Les rapports initiaux affirment que les principales victimes sont des systèmes de transport et les médias de l’Ukraine et de la Russie. Ainsi, même la branche ukrainienne du CERT (CERT-UA) a émis un avertissement d’éventuelles attaques de rançongiciels.

Près de 200 entreprises touchées

Bad Rabbit semble avoir déjà touché près de 200 cibles, principalement situées en Russie, en Ukraine, en Turquie et en Allemagne. Les attaques semblent avoir commencé le 24 octobre: une fois que l’infection s’est répandue et les sociétés de sécurité ont commencé à enquêter, les cybercriminels ont immédiatement supprimé le code malveillant qu’ils avaient ajouté aux sites Web piratés.

En outre, selon l’analyse des experts de Kaspersky Lab, l’algorithme de hachage utilisé dans l’attaque est similaire à celui utilisé par ExPetr, le protagoniste en juin dernier lorsque la précédente épidémie de Petya a frappé plusieurs pays européens. En outre, il semble que les deux attaques utilisent les mêmes domaines; et les similitudes dans les codes source respectifs indiquent que la nouvelle attaque est liée aux créateurs d’ExPetr.

De même, tout comme exPetr, Bad Rabbit tente d’obtenir des informations d’identification de la mémoire du système et de les diffuser au sein du réseau d’entreprise par WMIC. Cependant, les analystes n’ont pas trouvé les exploits EternalBlue ou EternalRomance dans l’attaque de Bad Rabbit; les deux utilisés dans ExPetr.

Comment se propage le malware?

Les premiers rapports affirment que Bad Rabbit se propage via le type de trou d’arrosage qui dirige le faux installateur Flash « install_flash_player.exe ». Les sites compromis sont injectés avec un script qui contient une URL qui résout hxxp: [.] // 1dnscontrol Com / flash_install, qui est inaccessible à partir de la date de publication. « Chez Trend Micro, nous avons vu des sites compromis au Danemark, en Irlande, en Turquie et en Russie où le faux installateur Flash a été livré« , disent-ils de la société.

Figure 1: Bad Rabbit Infection Chain

Une fois le faux installateur cliqué, le fichier de cryptage infpub.dat est libéré en utilisant le processus rundll32.exe, avec le fichier de déchiffrement dispci.exe. Dans le cadre de votre routine, Bad Rabbit utilise un trio de fichiers qui font référence à la série Games of Thrones, en commençant par rhaegal.job, qui est responsable de l’exécution du fichier déchiffré, suivi d’un second fichier de travail, drogon.job , qui est responsable de l’arrêt de la machine de la victime. Ensuite, ransomware procédera au cryptage des fichiers dans le système et affichera la note de secours qui est inclus ci-dessous.

 Figure 3: Bad Rabbit ransom note showing the installation key

Un troisième fichier, viserion_23.job, redémarre le système cible une seconde fois. L’écran est verrouillé et la note suivante est affichée:

 Figure 4: Bad Rabbit ransom note displayed after system reboot

Bad Rabbit se propage à d’autres ordinateurs sur le réseau libérant des copies de lui-même sur le réseau en utilisant son nom d’origine et d’exécuter les copies publiées à l’aide de Windows Management Instrumentation (WMI) et le protocole Remote Control Service Manager. Lors de l’utilisation de Service Control Manager Remote Protocol, il utilise des attaques de dictionnaire pour les informations d’identification.

Parmi les outils que Bad Rabbit incorpore est censé l’utilitaire Mimikatz open source, qui est utilisé pour obtenir des informations d’identification. Il existe également des preuves de l’utilisation de DiskCryptor, un outil de chiffrement de disque légitime, pour coder les systèmes cibles.

Une attaque préparée depuis juillet

Les différentes enquêtes montrent que les cyberattaques à l’origine de cette opération se préparent au moins depuis juillet 2017, créant leur réseau d’infection dans des sites piratés, principalement des moyens de communication et des ressources d’information.

Cependant, il est important de noter que Bad Rabbit n’exploite aucune vulnérabilité, contrairement à Petya qui a utilisé EternalBlue dans le cadre de sa routine.

Comment pouvez-vous vous protéger face à Bad Rabbit?

Ces dernières années, les rançongiciels sont devenus l’une des attaques les plus fréquemment utilisées par les cybercriminels; les données sont les atouts les plus précieux que nous possédons, et ils en profitent pour demander une rançon en échange. C’est un malware très dangereux car une fois qu’il infecte un ordinateur, il peut chiffrer tous les fichiers, sans que la victime ne remarque quoi que ce soit jusqu’à ce qu’ils ne puissent plus rien faire.

Cependant, il existe un certain nombre de mesures et de conseils que les utilisateurs peuvent prendre en compte pour éviter autant que possible d’être victimes des attaques de ransomware.

À quoi doit-on s’attendre ces prochaines heures et ces prochains jours ?

LCI a posé la question à Nicolas Arpagian, Directeur scientifique, Cycle « Sécurité Numérique », Institut National des Hautes Etudes de la Sécurité & de la Justice, et, d’àpres lui: « Il faut rester prudent car les indications dont on dispose pour l’instant sur Bad Rabbit sont parcellaires. On n’a pas encore fait l’analyse que l’on qualifie de « post mortem », qui consiste à disséquer le mode opératoire ». En plus, il affirme qu’ « Aucun pays ne peut se considérer à l’abri«  voilà pourquoi il faut faire en sorte de « les déceler le plus rapidement possible et d’empêcher leur propagation ».

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply