Bad Rabbit : une nouvelle épidémie de ransomware est en hausse
Le post est mis à jour au fur et à mesure que nos experts trouvent de nouveaux détails sur le malware.
Nous avons déjà vu deux attaques de ransomware à grande échelle cette année – nous parlons des tristement célèbres WannaCry et ExPetr (également connu sous le nom de Petya et NotPetya). Il semble qu’une troisième attaque soit en train de se développer : Le nouveau logiciel malveillant s’appelle Bad Rabbit – du moins, c’est le nom indiqué par le site web du darknet dont le lien figure dans la demande de rançon.
Ce que l’on sait pour le moment, c’est que le ransomware Bad Rabbit a infecté plusieurs grands médias russes, l’agence de presse Interfax et Fontanka.ru figurant parmi les victimes confirmées du logiciel malveillant. L’aéroport international d’Odessa a signalé une cyberattaque sur son système d’information, bien que l’on ne sache pas encore s’il s’agit de la même attaque.
Les criminels à l’origine de l’attaque Bad Rabbit réclament 0,05 bitcoin comme rançon – soit environ 280 dollars au taux de change actuel.
Selon nos constatations, il s’agit d’une attaque par drive-by : Les victimes téléchargent un faux installateur Adobe Flash à partir de sites web infectés et lancent manuellement le fichier .exe, s’infectant ainsi elles-mêmes. Nos chercheurs ont détecté un certain nombre de sites web compromis, tous des sites d’actualités ou de médias.
Selon nos données, la plupart des victimes de ces attaques sont situées en Russie. Nous avons également constaté des attaques similaires mais moins nombreuses en Ukraine, en Turquie et en Allemagne. Ce ransomware a infecté des appareils par le biais d’un certain nombre de sites Web de médias russes piratés. D’après notre enquête, il s’agit d’une attaque ciblée contre des réseaux d’entreprise, utilisant des méthodes similaires à celles utilisées dans l’attaque ExPetr.
Nos experts ont recueilli suffisamment de preuves pour établir un lien entre l’attaque Bad Rabbit et l’attaque ExPetr, qui s’est produite en juin de cette année. Selon leur analyse, une partie du code utilisé dans Bad Rabbit avait déjà été repérée dans ExPetr.
Les autres similitudes incluent la même liste de domaines utilisés pour l’attaque drive-by (certains de ces domaines ont été piratés en juin dernier mais n’ont pas été utilisés) ainsi que les mêmes techniques utilisées pour diffuser le malware dans les réseaux d’entreprise – les deux attaques ont utilisé Windows Management Instrumentation Command-line (WMIC) à cette fin. Il y a toutefois une différence : Contrairement à ExPetr, Bad Rabbit n’utilise pas l’exploit EternalBlue pour l’infection. Mais il utilise l’exploit EternalRomance pour se déplacer latéralement sur le réseau local.
Nos experts pensent que le même acteur de menace est derrière les deux attaques et que cet acteur de menace préparait l’attaque Bad Rabbit dès juillet 2017, voire avant. Cependant, contrairement à ExPetr, Bad Rabbit semble ne pas être un wiper, mais juste un ransomware : il chiffre les fichiers de certains types et installe un bootloader modifié, empêchant ainsi le PC de démarrer normalement. Parce que ce n’est pas un wiper, les malfaiteurs derrière lui ont potentiellement la capacité de déchiffrer le mot de passe, qui, à son tour, est nécessaire pour déchiffrer les fichiers et permettre à l’ordinateur de démarrer le système d’exploitation.
Malheureusement, nos experts disent qu’il n’y a aucun moyen de récupérer les fichiers chiffrés sans connaître la clé de chiffrement. Cependant, si pour une raison quelconque Bad Rabbit n’a pas crypté tout le disque, il est possible de récupérer les fichiers à partir des copies d’ombre (si les copies d’ombre étaient activées avant l’infection). Nous poursuivons notre enquête. En attendant, vous pouvez trouver plus de détails techniques dans ce post sur Securelist.
Les produits de Kaspersky Lab détectent l’attaque avec les verdicts suivants :
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
Pour éviter d’être victime de Bad Rabbit:
Utilisateurs de produits Kaspersky Lab:
- Vérifiez que System Watcher et Kaspersky Security Network sont exécutés. Si ce n’est pas le cas, il est essentiel d’activer ces fonctionnalités.
Autres utilisateurs:
- Bloquez l’exécution des fichiers c:windowsinfpub.dat et c:Windowscscc.dat.
- Désactiver le service WMI (si cela est possible dans votre environnement) pour empêcher le malware de se propager sur votre réseau.
Conseils pour tous :
- Sauvegarder vos données.
- Ne pas payer la rançon.