Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BadRabbit : une APT au service d’un ransomware ?

octobre 2017 par Marc Jacob

Une nouvelle épidémie de ransomware vient de frapper d’importantes entreprises de transport et certaines organisations gouvernementales. Les systèmes informatiques du métro de Kiev, l’aéroport d’Odessa et d’autres organisations sont touchés.

Les utilisateurs ESET® sont protégés contre cette menace (détectée par ESET comme Win32 / Diskoder.D). Dans le cas du métro de Kiev, ESET a découvert que le malware utilisé est Diskcoder.D (nommé également BadRabbit), une nouvelle variante de ransomware connue aussi sous le nom de Petya. La version précédente de Diskcoder a été utilisée dans la cyberattaque mondiale de juin 2017, nommée par les experts « NotPetya ».

ESET a détecté des centaines d’occurrences de BadRabbit. La plupart se trouvent en Russie (65 %) et en Ukraine (12,2 %). D’autres pays sont également concernés, tels que la Bulgarie (10,2 %), la Turquie (6,4 %) ou encore le Japon (3,8 %).

Toutes les grandes entreprises victimes de ce malware furent touchées en même temps. Il est possible que le groupe se soit introduit dans les réseaux des victimes avant l’attaque et que l’utilisation des sites compromis soit un leurre. ESET continue d’enquêter et publiera sa découverte au fur et à mesure sur WeLiveSecurity. Nous restons à votre disposition pour tout complément d’information.


Vous trouverez ci-dessous des informations complémentaires sur le mode opératoire de cette menace.

Selon ESET, BadRabbit utilise l’outil Mimikatz pour voler les identifiants de la victime et se propager dans le réseau. L’une des méthodes de distribution de BadRabbit est le téléchargement forcé, « drive-by » en anglais. Les sites Internet compromis contiennent un code JavaScript malveillant dans les pages ou fichiers .js. Lorsque le code est activé, une fenêtre invite l’utilisateur à télécharger une mise à jour Flash Player®. Si la victime l’installe, le téléchargement d’un fichier exécutable se lance : l’ordinateur est alors verrouillé et affiche la demande de rançon.

Messages affichés à l’écran de la victime

BadRabbit se propage via le protocole SMB mais n’utilise pas la vulnérabilité EternalBlue comme ce fut le cas pour NotPetya. Puis il analyse le réseau à la recherche de partages ; enfin, Mimikatz est lancé sur l’ordinateur compromis pour récupérer les informations d’identification.

BadRabbit est une version modifiée de Win32 / Diskcoder.C (NotPetya). Des bogues dans le module de chiffrement des fichiers ont été corrigés, il utilise maintenant DiskCryptor, un logiciel open source utilisé pour le chiffrement complet de disques. Les clés sont générées à l’aide de CryptGenRandom, puis protégées par une clé publique RSA 2048 codée en dur.




Voir les articles précédents

    

Voir les articles suivants