Ransomware BadRabbit : Plus de peur que de mal

La nuit a probablement été longue pour plusieurs analystes de malware et le café a coulé à flots, mais les premiers rapports détaillant l’attaque BadRabbit d’hier commencent à tomber sur les blogs des sociétés de cybersécurité. Rappel des faits : hier en fin d’après midi, plusieurs sources évoquent une attaque informatique ayant touché plusieurs organisations en Ukraine et en Russie. L’attaque prenait la forme d’un ransomware, qui présentait certaines similarités avec le ransomware Petya. Au vu des précédents épisodes d’attaques informatiques majeures qui se sont déclarées dans la région, l’information n’est pas passée inaperçue. Pourtant, on est bien loin de la complexité de l’attaque NotPetya.

Le ransomware en question, connu sous le nom de BadRabbit, a notamment été diffusé via une fausse mise à jour d’Adobe Flash proposée par des sites compromis. Lorsque l’utilisateur visitait la page infectée par un script malveillant, le site relevait ses données de connexion et affichait alors une pop-up proposant à l’utilisateur une mise à jour de flash. Pas de faille de sécurité exploitée dans ce cas de figure : l’utilisateur devait accepter et exécuter la mise à jour pour que l’attaque se déclenche.


 

Cette mise à jour contenait le ransomware BadRabbit, qui se charge de chiffrer les fichiers de la cible, tandis qu’une autre partie du code se charge d’infecter d’autres systèmes en scannant le réseau et en se propageant via SMB : BadRabbit n’a pas non plus recours à une faille pour se déplacer sur le réseau, mais utilise du code emprunté à l’utilitaire mimikatz, un outil permettant de retrouver des identifiants, ainsi qu’une liste de mots de passe par défauts communs.

En parallèle de ces mouvements latéraux, le ransomware va planifier plusieurs taches : d’une part il utilise des binaires de l’utilitaire open source DiskCryptor afin de chiffrer les fichiers présents sur la machine de la cible. Il planifie également un reboot de la machine, ainsi que la création d’un exécutable « Decrypt » chargé d’afficher les informations relatives au paiement de la rançon. Puis le malware modifie le Master Boot Record, la partition du disque chargée du démarrage de l’ordinateur, afin de rediriger l’utilisateur vers la note contenue dans Decrypt au démarrage de l’ordinateur. Après une courte période de temps, l’ordinateur redémarre et affiche à l’utilisateur la note indiquant à l’utilisateur que ses fichiers ont été chiffrés et que les clefs de déchiffrement peuvent être obtenues contre une rançon de 0.05 bitcoin payée sur un service caché via le réseau Tor.

 

Les statistiques présentées par Talos donnent une idée de la vitesse de propagation de l’infection, en se basant sur les données d’activité DNS liées à l’un des serveurs utilisés par les opérateurs du malware pour distribuer la fausse mise à jour flash contenant le malware. Le pic d’activité se concentre aux alentours de 18h, mardi 24 octobre.

Le nombre de cibles touchées par l’attaque est réduit selon les estimations de plusieurs sociétés de sécurité. Kaspersky l’estime à 200, Eset estime de son côté que la majorité des cibles se trouvaient en Russie et en Ukraine, avec quelques cibles touchées en Turquie et en Bulgarie.

Selon Kaspersky, il s’agirait « d’une attaque ciblée contre des réseaux d’entreprise, utilisant des méthodes similaires à celles utilisées par l’attaque ExPetr (NDLR NotPetya dans la nomenclature Kaspersky.) » Les similitudes avec Petya et NotPetya sont confirmées par plusieurs sociétés de cybersécurité, qui soulignent des méthodes proches ainsi que la réutilisation d’une partie du code. Mais la sophistication de l’attaque est ici bien moindre : BadRabbit n’a recours à aucune faille de sécurité pour se propager et se repose uniquement sur la tromperie de l’utilisateur ainsi que sur le vol et l’utilisation de mots de passe courant pour se propager via le protocole SMB.

Comme le souligne Talos, ce type d’attaque montre une normalisation des techniques employées par NotPetya en début d’année et le développement de ransomware disposant de capacités de déplacement sur le réseau comparables à celles des vers pourrait devenir une nouvelle opportunité pour les cybercriminels qui cherchent à maximiser les infections sur une courte période.

ZDNet