Qu’est-ce que le ransomware Bad Rabbit ?

Cet article a été mis à jour le 1 avril 2023

Bad Rabbit est un ransomware appartenant à la famille des ransomwares Petya qui a frappé plus de 200 organisations à travers l’Europe de l’Est en octobre 2017. Les cibles étaient principalement des agences de presse russes, mais divers réseaux d’entreprises à travers la Russie, l’Europe de l’Est et le Japon ont été touchés en raison de la méthode utilisée par le ransomware pour se propager à travers les réseaux.

Bad Rabbit s’est propagé par le biais d’une attaque par drive-by où des sites web compromis diffusaient une fausse mise à jour Adobe Flash qui, une fois exécutée, chiffrait les fichiers système avec des clés RSA 2048 bits et demandait 0,05 bitcoin.

Qui a créé Bad Rabbit ?

Le ransomware Bad Rabbit n’est actuellement attribué à aucun groupe de menace. Toutefois, le code et la liste des domaines utilisés pour l’attaque par drive-by présentent suffisamment de similitudes avec NotPetya (également appelé ExPetr ou Nyetya) pour que les chercheurs pensent que le même groupe est responsable des deux. NotPetya a des liens avec BlackEnergy et Sandworm Team, mais ces équipes sont russes et Bad Rabbit cible principalement la Russie, ce qui complique l’attribution. Certains chercheurs et commentateurs ont proposé que Bad Rabbit soit un groupe financé par l’État ciblant des organisations médiatiques dissonantes. Toutefois, si ce n’est que les principaux sites Web d’abreuvement sont liés aux médias, il n’existe aucune preuve concluante à l’appui de cette suggestion.

Histoire de Bad Rabbit

Le ransomware Bad Rabbit est une variante présumée du ransomware Petya. Comme la plupart des virus malveillants, Petya s’est transformé en d’innombrables variantes au fil du temps. La dernière variante potentielle de Petya a été surnommée Bad Rabbit et a déjà affecté les systèmes de trois sites web russes, d’un aéroport en Ukraine et d’un métro dans la capitale de Kiev, selon la BBC. Pire encore, Bad Rabbit n’a montré aucun signe d’arrêt en se propageant rapidement à travers la Russie, l’Ukraine, l’Allemagne et en Amérique du Nord.

La principale société de sécurité antivirus, Avast, a signalé que le virus Bad Rabbit avait atteint les États-Unis.

  • Mars 2016 Petya repéré pour la première fois
  • Avril 2017 Fuite des Shadow Brokers EternalRomance
  • Juin 2017 : NotPetya est repéré pour la première fois
  • 12 octobre Le SBU ukrainien avertit de l’imminence d’une attaque similaire à NotPetya
  • 24 octobre 2017 Première détection de BadRabbit

Comment Bad Rabbit est-il distribué ?

Les vecteurs d’attaque initiaux de Bad Rabbit étaient des sites de médias russes compromis. Les attaquants ont téléchargé sur ces sites de faux installateurs d’Adobe Flash Player qui, une fois téléchargés et exécutés manuellement par un utilisateur, déclenchaient le ransomware Bad Rabbit.

Les sites web compromis ont hébergé une redirection vers 1dnscontrol[.]com pendant 6 heures. Une fois la redirection effectuée, une requête post était envoyée à 185.149.120[.]3, fournissant aux attaquants l’agent utilisateur et d’autres informations d’identification. À partir de là, le dropper a été téléchargé à partir de deux sources : 1dnscontrol[.]com/index.php et /flash_install.php.

Une fois que l’utilisateur exécute l’exécutable Adobe Flash Player malveillant, Bad Rabbit recherche les partages SMB qu’il force de manière brute à l’aide d’une liste codée en dur d’informations d’identification courantes. Les outils de post-exploitation Mimikatz sont également utilisés pour récolter les noms d’utilisateur et les mots de passe et accéder à d’autres partages SMB.

À partir de là, Bad Rabbit tente d’exploiter la ligne de commande Windows Management Instrumentation (WMIC) afin d’exécuter du code sur les systèmes Windows en réseau.

Enfin, il utilise une implémentation d’EternalRomance, très similaire à cette implémentation python accessible au public, pour lire et écrire des données arbitraires dans l’espace mémoire du noyau en écrasant la sécurité de la session. Bad Rabbit utilise ensuite cet accès pour exécuter un chiffrement complet du disque avec DiskCryptor, une application de chiffrement open-source.

bad rabbit ransomware

Quels sont les systèmes vulnérables à Bad Rabbit ?

Seuls les systèmes d’exploitation Windows 7 et ultérieurs non corrigés sont affectés par Bad Rabbit. Les rapports initiaux indiquaient que le ransomware n’utilisait pas d’exploits développés par la NSA. Cependant, des recherches complémentaires menées par Talos Security Intelligence de Cisco ont montré que Bad Rabbit utilisait en fait l’exploit EternalRomance CVE-2017-0145 pour contourner la sécurité du partage de fichiers Windows Server Message Block (SMB) et permettre l’exécution de code à distance sur les systèmes Windows. Il s’agit du même exploit que celui divulgué par les Shadow Brokers en avril et utilisé par NotPetya en juin.

Remédiation

Face à cette menace cybernétique imminente, les professionnels n’ont qu’une question : comment puis-je protéger mon entreprise contre Bad Rabbit ? Les professionnels de la cybersécurité de tout le pays se sont efforcés d’identifier des moyens concrets de prévenir le virus Bad Rabbit et d’aider les chefs d’entreprise à stopper les cybercriminels dans leur élan.

Un chercheur du Massachusetts de la société Cybereason a affirmé qu’il disposait d’un vaccin pour protéger les clients contre Bad Rabbit. En suivant cette courte série d’étapes infaillibles, vous vaccinerez automatiquement les ordinateurs, les portables et les autres appareils de votre entreprise, les mettant ainsi à l’abri de l’invasion de Bad Rabbit :

1. Créez deux fichiers : C:\NWindowsinfpub.dat & C:\NWindowscscc.dat.

Allez dans les propriétés de chacun des fichiers et supprimez toutes les autorisations pour les deux fichiers. Ce faisant, supprimez l’héritage afin que les fichiers n’héritent pas des permissions du dossier C:\Windows.

2. Surveillez vos journaux d’événements.

Microsoft indique que puisque Bad Rabbit effacera les journaux d’événements et créera diverses tâches planifiées sous les noms de Drogon, Rhaegal et Viserion, les propriétaires d’entreprise peuvent surveiller leurs journaux d’événements (log events) pour détecter de manière proactive ce type d’activité malveillante.

Soyez attentifs à ces deux événements en particulier :

Event 1102, qui indique que le journal d’audit a été effacé

Event 106, il indique qu’une tâche planifiée a été créée.

3. Maintenez Microsoft Defender à jour.

Microsoft a également travaillé avec diligence pour publier des rapports sur les menaces concernant Bad Rabbit. Ils désignent Bad Rabbit sous le nom de Ransom:Win32/Tibbar.A. et indiquent que Windows Defender peut détecter le ransomware à l’aide des mises à jour de détection 255.29.0 et ultérieures.

Demandez aux administrateurs système d’associer aux événements 1102 et 106 une tâche planifiée qui exécutera une commande spécifique si les événements sont détectés.

Cette commande, par exemple, pourrait nécessiter l’envoi d’un courriel ou d’une alerte à un administrateur. Si ces événements sont détectés de manière proactive, ils peuvent indiquer que l’arrêt de l’ordinateur a été programmé. Microsoft suggère que les propriétaires d’entreprise peuvent alors interrompre ce processus en utilisant la commande shutdown-a.

Envie d'en lire plus :

  • Qu’est-ce qu’une attaque DDoS ?
  • Ransomware : Qu’est-ce que c’est et comment fonctionne-t-il ?
  • Qu’est-ce qu’un malware ?
  • Qu’est-ce qu’un adware et comment le supprimer ?
    • Damien

    Damien

    Journaliste, chercheur et rédacteur web. Efficace et compétent sur de multiples plateformes et dans divers médias. La technologie informatique et la sécurité sont mes spécialités.

    Informations

    Geek Newz participe au Programme Partenaires d’Amazon EU, un programme d’affiliation conçu pour permettre à des sites de percevoir une rémunération grâce à la création de liens vers Amazon

    Geek Newz

    39 chemin de Terron
    06200 NICE
    Contact@geeknewz.fr
    Mobile : 07 49 91 29 18

    Geek Newz
    Logo
    Lorsqu’activé, enregistrer les permaliens dans paramètres - permaliens