Bad Rabbit Ransomware

Bad Rabbit est apparu pour la première fois en octobre 2017, ciblant des organisations en Russie, en Ukraine et aux États-Unis avec une attaque qui est essentiellement un nouveau ransomware NotPetya amélioré. Les autorités ukrainiennes attribuent Bad Rabbit à Black Energy, le groupe de menaces qu’elles pensent également être à l’origine de NotPetya. De nombreux experts en sécurité pensent que Black Energy opère dans l’intérêt et sous la direction du gouvernement russe. L’attaque n’a pas duré longtemps, ce qui indique que les contrôleurs l’ont arrêtée eux-mêmes.

L’attaque a commencé via des fichiers sur des sites de médias russes piratés, en utilisant l’astuce d’ingénierie sociale populaire consistant à se faire passer pour un installateur Adobe Flash. Le ransomware exige un paiement de 0,05 bitcoin, soit environ 275 dollars, donnant aux victimes 40 heures pour payer avant que la rançon n’augmente.

bad-rabbit-ransomware-diskcoder

C’est essentiellement NotPetya v2.0, avec des améliorations significatives par rapport à la version précédente. Bad Rabbit présente de nombreux éléments se chevauchant avec le code de Petya/NotPetya, ce qui nous permet de supposer avec un haut degré de certitude que les auteurs derrière l’attaque sont les mêmes. Ils ont également essayé de composer leur charge utile malveillante en utilisant des éléments volés, cependant, le noyau volé de Petya a été remplacé par un crypteur de disque plus avancé sous la forme d’un pilote légitime.

Dans cette campagne actuelle, les données cryptées semblent pouvoir être récupérées après le paiement de la rançon, ce qui signifie que cette attaque BadRabbit n’est pas aussi destructrice que NotPetya. Ils ont corrigé de nombreux bugs dans le processus de cryptage des fichiers.

Bad_Rabbit_Screen-Shot-2017-10-24.png

Bad Rabbit chiffre d’abord les fichiers sur l’ordinateur de l’utilisateur, puis remplace le MBR (Master Boot Record). Cela signifie que vous devez acheter deux clés, une pour le chargeur de démarrage et une pour les fichiers eux-mêmes. En gros, cela bloque la machine. Plus d’informations techniques sur bleepingcomputer.

Comment inoculer une machine si votre logiciel d’extrémité ne bloque pas Bad Rabbit

  • Bloquer l’exécution des fichiers c:\windows\infpub.dat et c:\Windows\cscc.dat.
  • Désactivez le service WMI (si cela est possible dans votre environnement) pour empêcher le malware de se propager sur votre réseau.

Voici des instructions détaillées si vous êtes pressé.

Environ une semaine après l’attaque initiale, on a découvert que Bad Rabbit était une couverture pour une attaque d’ingénierie sociale plus insidieuse. Des campagnes de phishing ciblées sur un certain nombre d’entités ukrainiennes visaient à compromettre des informations financières et d’autres données sensibles. Les enquêteurs pensent que l’auteur de Bad Rabbit et de la campagne de phishing secondaire sont les mêmes, l’objectif de l’attaque secondaire étant d’obtenir un accès non détecté bien après que la campagne de ransomware ait cessé de se propager.

« Comme les cybercriminels deviennent plus intelligents et plus sophistiqués, il est important de se rappeler que les attaques ne sont pas toujours ce qu’elles semblent être en surface », a déclaré Ben Johnson, cofondateur et directeur technologique d’Obsidian Security, à l’International Business Times. NotPetya a également utilisé un ransomware comme couverture pour une attaque secondaire, et ce n’est probablement pas une coïncidence.

Votre réseau est-il vulnérable aux attaques de ransomware ?

Découvrez-le maintenant avec le simulateur de ransomware « RanSim » de KnowBe4, obtenez vos résultats en quelques minutes.

Get RanSim!
 » Retour à la base de connaissances sur les ransomwares
.

Leave a Reply