Le ransomawre Bad Rabbit s’invite dans des dizaines d’ordinateurs

Posted On 25 Oct 2017

Le code malveillant Bad Rabbit a des liens très étroits avec l’attaque ransomware de juin 2017. Plusieurs centaines de cibles. Les pirates ont stoppé l’attaque !

La nouvelle attaque de masse d’un ransomware a été détectée, il y a quelques heures en Russie et en Ukraine. Une cyberattaque baptisée Bad Rabbit. Le vilain lapin est, selon les chercheurs de Kaspersky Lab, une copie avec l’attaque d’ExPetr. Une autre malveillance informatique diffusée en juin 2017. Selon leurs analyses, l’algorithme de hachage utilisé lors de l’attaque Bad Rabbit est similaire à celui utilisé par ExPetr/Diskcoder.C/NotPetya.

De plus, il a été découvert que les deux attaques utilisaient le même domaine et les similarités dans leurs codes sources respectifs indiquent que la nouvelle attaque est liée aux créateurs d’ExPetr. Tout comme ExPetr, Bad Rabbit essaie de dérober des identifiants depuis la mémoire du système et de les diffuser au sein du réseau corporate par WMIC.

Néanmoins, les chercheurs n’ont trouvé aucun exploit EternalBlue ou EternalRomance dans l’attaque Bad Rabbit ; alors que les deux failles volées à la NSA, les Services de renseignements américains, étaient utilisés pour ExPetr. Bad Rabbit utilise cependant le protocole SMB. Selon F5, 13% du code de Bad Rabbit est tiré de Petya.

Bad Rabbit, le vilain lapin sort de terre en Russie

Les investigations démontrent que les attaquants derrière cette opération la préméditaient depuis au moins juillet 2017, en installant leur réseau d’infections sur des sites piratés, qui sont principalement des plateformes médias et sites d’information. Bad Rabbit a fait, pour le moment, près de 200 victimes, basées en Russie, Ukraine, Turquie, Japon et Allemagne. Toutes les attaques se sont déroulées le 24 Octobre et aucune nouvelle attaque n’est à déplorer depuis. Les chercheurs ont noté qu’une fois l’infection largement répandue et le début de l’investigation des entreprises de sécurité, les cyber attaquants ont immédiatement supprimé le code malveillant qui avait été ajouté aux sites piratés. ZATAZ a reçu une preuve que Bad Rabbit avait au moins touché un ordinateur Français.

Just interesting detail: the mimikatz DLL that was embedded in Win32/Filecoder.AESNI.C (aka XData) had name rabbitlib.dll #XData #BadRabbit pic.twitter.com/A1M6GDx9mN

— Anton Cherepanov (@cherepanov74) October 25, 2017

Les attaques ont ciblé des infrastructures liées aux transports et aux médias. L’aéroport international d’Odessa a été touché par exemple. Selon ESET, BadRabbit utilise l’outil Mimikatz pour voler les identifiants des victimes et se propager dans le réseau de l’espace infiltré.

« Ce n’était qu’une question de temps avant que les idées utilisées par WannaCry et NotPetya ne soient récupérées par des cybercriminels pour lancer une nouvelle cyberattaque ciblant des victimes peu méfiantes. » souligne Chester Wisniewski, Principal Research Scientist de Sophos.

Les pirates stoppent leur attaque !

Cette nouvelle variante a été propagée via un faux fichier d’installation Adobe Flash Player. Vous savez, la fameuse pop-up qui s’affiche dans votre ordinateur vous réclamant une mise à jour d’urgence ! Un téléchargement de type « drive-by ». Les sites Internet compromis contiennent un code JavaScript malveillant dans les pages ou fichiers .js. Lorsque le code est activé, une fenêtre invite l’utilisateur à télécharger la fausse mise à jour. Elle peut concerner une fausse mise à jour de Flash Player, mais aussi de VLC, Firefox ou Chrome. Si la victime l’installe, dans ce cas le dropper se nomme install_flash_player.exe, le téléchargement d’un fichier exécutable se lance (discpci.exe). L’ordinateur est alors verrouillé et affiche la demande de rançon.

Ce qui rend ce malware plus dangereux qu’un ransomware « classique » est sa capacité à se propager à travers une entreprise comme un ver, et pas seulement via des pièces jointes ou des plugins web vulnérables. A noter que des « bugs » dans le module de chiffrement des fichiers ont été corrigés. Le vilan lapin utilise et détourne l’excellent DiskCryptor. Les clés de chiffrement sont générées à l’aide de CryptGenRandom, puis protégées par une clé publique RSA 2048 codée en dur.

Here is my analysis of #BadRabbit @EndgameInc https://t.co/D5w0Lo6BZb pic.twitter.com/9Ku9OXr9W8

— Amanda Rousseau (@malwareunicorn) October 25, 2017

Hygiène numérique face à de vicieuses attaques !

Comme le précise F5, il n’y a pas de solution miracle pour se protéger contre ce type d’attaque. Les meilleures méthodes actuellement disponibles s’appuient sur des sauvegardes fiables hébergées en dehors du réseau et le maintien d’un plan d’intervention à jour. En outre, les organisations ont besoin de systèmes tels que SSL pour inspecter les terminaux. Il est également important de filtrer et de surveiller les courriels afin de détecter les attaques de type phishing, d’inspecter le trafic chiffré susceptible de cacher des logiciels malveillants, et de restreindre les privilèges d’administration afin de limiter les dommages causés par un compte compromis. Et comme toujours, toutes les organisations doivent veiller à ce que des formations et une éducation de fond des utilisateurs soient mise en œuvre régulièrement.

Bref, comme le répété ZATAZ.COM depuis plus de 20 ans, s’informer, s’est déjà se sécuriser.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.