kaptn - Fotolia
Rançongiciel Bad Rabbit : une vaste opération minutieusement préparée
Sa diffusion massive a commencé ce mardi 24 octobre, entre Russie et Ukraine, via une prétendue mise à jour de Flash. Mais ce ransomware sait aussi se propager sur les réseaux locaux.
L’agence Interfax a été parmi les premiers à donner l’alerte en annonçant, ce mardi 24 octobre après-midi, la chute de ses serveurs sous l’effet d’une attaque informatique. L’agence était en fait victime d’un nouveau ransomware, surnommé Bad Rabbit. Le métro de Kiev a été touché, de même que l’aéroport d’Odessa, et beaucoup d’autres encore, notamment en Bulgarie, en Allemagne, en Turquie et au Japon, mais également en Corée du Sud, en Pologne et aux Etats-Unis, selon Avast.
Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем.
— Интерфакс (@interfax_news) October 24, 2017
La propagation de Bad Rabbit trouve son origine dans des sites Web compromis, selon le principe de l’attaque par point d’eau (ou watering hole) : les visiteurs des sites en question sont invités à télécharger une prétendue mise à jour du lecteur Flash. Mais elle ne s’arrête pas là : ce rançongiciel met à profit Mimikatz pour récupérer des identifiants sur les machines compromises afin de se diffuser sur le réseau local, ainsi qu’une liste d’identifiants par défaut. Mais si ce comportement de ver peut rappeler celui de NotPetya, la comparaison s’arrête là sur ce point : Bad Rabbit n’utilise pas le célèbre exploit EternalBlue. Et il semble aussi s’intéresser aux partages WebDAV. Et surtout, à ce stade, les auteurs de ce nouveau ransomware semblent organisés de sorte à pouvoir déchiffrer les fichiers de leurs victimes après paiement de la rançon. Pour autant, selon Group IB, Bad Rabbit serait bien « une version modifiée de NotPetya ».
Ransomware #BadRabbit spread in Russia 🇷🇺, Ukraine 🇺🇦, Turkey 🇹🇷 and Bulgary 🇧🇬 via fake Flash using #EternalBlue exploit pic.twitter.com/gzvaeLvXoM
— Lukas Stefanko (@LukasStefanko) October 24, 2017
Et plusieurs éléments s’avèrent déjà troublants. Eset explique ainsi que les auteurs n’ont pas cherché à toucher n’importe quel visiteur des sites compromis : « la logique, côté serveur, peut déterminer si le visiteur présente un intérêt et alors ajouter le contenu à la page ».
Et puis il y a tout le travail de préparation de l’opération, avec la compromission d’une vingtaine de sites Web. Chez Kaspersky, Costin Raiu estime ainsi que les attaquants ont au moins commencé à mettre en place leur infrastructure au mois de juillet dernier, sinon plus tôt. Et d’indiquer au passage que le site Web d’information ukrainien Bahmut a là aussi été compromis, comme pour la distribution de celui qu’il a baptisé ExPetr plus tôt cette année.
It appears the attackers behind #Badrabbit have been busy setting up their infection network on hacked sites since at least July 2017. pic.twitter.com/fV5U1FeVtR
— Costin Raiu (@craiu) October 24, 2017
Pour Kevin Beaumont, c’est bien simple : le plus inquiétant à ce stade est que, « de façon réaliste, une perturbation à grande échelle n’est pas survenue parce que les attaquants ne le voulaient pas. Ca renvoie à de gros problèmes ».
En attendant, les mécanismes de protection existent. Les systèmes de protection du poste de travail détectent désormais les composants de Bad Rabbit, ainsi que d’autres, à l’instar du mécanisme de blocage des rançongiciels d’Acronis True Image. Un chercheur propose en outre une règle Sigma, pour système de gestion des informations et des événements de sécurité (SIEM), pour détecter les prétendues mises à jour du lecteur Flash ne provenant pas des serveurs d’Adobe.