psdesign1 - Fotolia
Bad Rabbit : un bien curieux feu de paille
L’infrastructure de commande et de contrôle du ransomware apparaît désormais inactive. Un lien serait possible avec le groupe Telebots.
N’est-ce vraiment qu’un rançongiciel, un de plus ? Probablement pas. C’est du moins ce que l’analyse de l’épisode Bad Rabbit, ce mardi 24 octobre, laisse de plus en plus apparaître.
Très tôt, plusieurs éléments se sont avérés troublants. Eset expliquait ainsi que les auteurs n’ont pas cherché à toucher n’importe quel visiteur des sites compromis : « la logique, côté serveur, peut déterminer si le visiteur présente un intérêt et alors ajouter le contenu à la page ».
Et puis il y a tout le travail de préparation de l’opération, avec la compromission d’une vingtaine de sites Web. Chez Kaspersky, Costin Raiu estimait ainsi que les attaquants ont au moins commencé à mettre en place leur infrastructure au mois de juillet dernier, sinon plus tôt. Et d’indiquer au passage que le site Web d’information ukrainien Bahmut a là aussi été compromis, comme pour la distribution de celui qu’il a baptisé ExPetr plus tôt cette année.
En fait, selon RiskIQ, l’infrastructure utilisée pour Bad Rabbit est active depuis au moins septembre 2016, et la liste de sites Web compromis s’étend bien au-delà de la vingtaine. Modeste, l’éditeur d’une plateforme de gestion du renseignement sur les menaces, estime sa liste de serveurs d’injection « très probablement incomplète ». Pour autant, « elle montre que cela fait partie d’une campagne de longue halène ». L’un des chercheurs de l’éditeur souligne en outre que le réseau de distribution de Bad Rabbit a été utilisé le 19 octobre, 5 jours avant l’attaque, pour un test d’injection.
Et l’attaque semble avoir été bien ciblée : « les opérateurs de cette campagne ont été capables d’utiliser cette position pour viser des visiteurs précis sur la base de l’espace d’adressage IP qu’ils associent à leurs cibles ».
Des liens étroits avec NotPetya
Mais ce n’est pas tout. Bad Rabbit partage beaucoup avec NotPetya/ExPetr/Nyetya, bien qu’il ne le semblait initialement. Comme lui, il utilise en fait l’exploit EnternalRomance, même si son implémentation est différente. Pour Matthieu Suiche, la conclusion s’impose : Bad Rabbit « est NotPetya recompilé et intégrant des correctifs ».
BadRabbit is not only similar to NotPetya, it *is* NotPetya recompiled and including bugfixes. See below the lateral movement routine. pic.twitter.com/Pdq6P0TwD7
— Matthieu Suiche (@msuiche) October 26, 2017
Cet avis est loin d’être isolé aujourd’hui. Pour les équipes Talos de Cisco, la base de code est effectivement la même. Pour autant, elles restent prudentes est « estiment avec une confiance faible que les auteurs de Nyetya et de Bad Rabbit sont les mêmes ». Et s’il y a encore débat, c’est bien là qu’il se situe.
RiskIQ estime que Bad Rabbit est le fruit du travail d’un groupe actif depuis longtemps et renvoie aux assertions d’Eset sur le groupe des Telebots. Group IB relève d’ailleurs que « certains modules ont été compilés à l’été 2014 », ce qui « correspond aux séquences de BlackEnergy », ou Sandworm, et dont Telebots serait une spin-off. Eset avait déjà évoqué cette piste pour NotPetya.
Des motivations obscures
Alors pour Group IB, les opérateurs de ces maliciels « ont changé leurs outils et essayé de se déguiser en groupe cybercriminel conventionnel ». De fait, avec Bad Rabbit, « une clé unique est générée pour chaque ordinateur infecté, et à chaque clé, son portefeuille en Bitcoin. Ce qui rend les paiements de rançons plus difficiles à suivre ». NotPetya, de son côté, s’était rapidement révélé n’être pas un rançongiciel, mais un logiciel malveillant destructeur.
Mais aujourd’hui, certains experts s’interrogent sur la réelle motivation des auteurs de Bad Rabbit : rapportant le niveau de vie dans les pays les plus affectés par ce maliciel, à la rançon demandée, d’un peu moins de 300 $, ils estiment peu probable que l’argent ait été le réel objectif de l’opération.