Le mardi matin 24 octobre 2017, des organisations en Russie et en Ukraine ont déclaré avoir été frappées par une épidémie de ransomware qui a paralysé leurs opérations. Des cas sporadiques ont également été enregistrés en Turquie, en Allemagne, en Bulgarie et au Japon, selon des rapports de différentes sources.
Le logiciel malveillant, auto-intitulé Bad Rabbit, est un code ransomware conçu pour chiffrer et verrouiller les fichiers sur les points de terminaison, puis exiger un paiement pour leur libération. Bad Rabbit est également le nom d’un site du Dark Web où les victimes sont amenées à payer pour que leurs fichiers soient déverrouillés.
Au moment de la rédaction de cet article, Bad Rabbit est compris comme ayant principalement touché des organisations en Russie. Plus précisément, il fait irruption dans les médias du pays. Dans les déclarations livrées par certaines des entités touchées, il a été signalé que les serveurs étaient hors service en raison de l’attaque en cours.
En Ukraine, l’attaque a touché des organisations d’infrastructures critiques dans le secteur des transports. L’une des victimes est l’aéroport d’Odessa, situé dans la troisième plus grande ville du pays, provoquant des retards de vols en raison du traitement manuel des données des passagers. L’Ukraine a également vu son système de métro affecté, provoquant des retards de paiement sur les terminaux de service à la clientèle, bien que les trains aient continué à circuler normalement.
Bad Rabbit est la troisième épidémie perturbatrice de ransomware cette année, après les vers WannaCry et NotPetya qui ont affecté de nombreuses organisations au deuxième trimestre 2017. Cela étant dit, la technique de propagation de Bad Rabbit ne repose pas sur les mêmes exploits, ce qui pourrait faciliter son endiguement global.
Télécharger le guide de réponse aux ransomwares d’IBM INCIDENT RESPONSE SERVICES
La propagation de Bad Rabbit
Selon les informations actuellement disponibles, contrairement à la plupart des ransomwares à motivation financière, Bad Rabbit ne se propage pas par e-mail. Selon IBM X-Force, qui analyse des milliards de messages de spam et de malspam, Bad Rabbit n’a pas été envoyé dans le cadre d’une campagne de courrier électronique. Certaines voix dans la communauté de la sécurité reconnaissent que l’épidémie est une attaque ciblée qui pourrait avoir été préparée depuis des mois, mais cela reste à confirmer.
Pour atteindre les terminaux des utilisateurs, les opérateurs de Bad Rabbit ont compromis des sites d’actualités et de médias pour que les visiteurs soient redirigés vers des pages de destination malveillantes qu’ils contrôlent. Sur ces pages, il était conseillé aux utilisateurs d’installer une mise à jour Adobe Flash, et c’est à ce moment-là qu’un téléchargement malveillant a eu lieu, délivrant le dropper du malware dans ce qu’on appelle une attaque drive-by – ne demandant aucune action pour déposer un fichier dans le point final.
Ceux qui sont allés de l’avant et ont exécuté le fichier ont, sans le savoir, libéré le malware sur leurs points finaux et ont vu leurs fichiers cryptés. La note des opérateurs du malware demande 0,05 BTC de rançon pour débloquer les fichiers.
Selon les informations de la communauté de la sécurité, les sites Web utilisés pour propager le malware étaient hébergés sur les mêmes serveurs que ceux utilisés pour distribuer le malware NotPetya en juin 2017. Ce réseau de sites Web prédéterminés était apparemment mis en place au fil du temps depuis juillet 2017.
Une mention notable d’un fournisseur de sécurité a signalé que toutes les entreprises ont été infectées à peu près en même temps. Ce fournisseur a émis l’hypothèse que les attaquants pourraient déjà être dans certains systèmes des victimes. Dans ce cas, les attaquants ne seraient-ils pas en mesure de lancer directement le logiciel malveillant ?
Cette question soulève une autre option : Est-il possible qu’au moins un courriel ciblé ait été envoyé à chaque victime avec un leurre pour les amener sur l’un des sites médiatiques infectés dans une attaque de type watering hole ? Une fois qu’il y avait un utilisateur infecté, le logiciel malveillant aurait pu se propager vers l’avant à partir du patient zéro.
Moving Through Networks
Bad Rabbit se propage sur les réseaux en utilisant certains outils pour l’aider à atteindre des points d’extrémité supplémentaires. Selon IBM X-Force, le malware utilise une fonctionnalité SMB de Windows, mais elle n’a aucun rapport avec la méthode précédemment utilisée par l’exploit EternalBlue. Nos chercheurs constatent également que le malware émet des requêtes HTTP OPTIONS sur le port 80 pour /admin$, ce qui suggère l’utilisation de WebDAV dans le cadre du stratagème.
De plus, Bad Rabbit semble exploiter l’outil Mimikatz – qui a été conçu comme un outil de test et non à des fins malveillantes, mais qui est néanmoins souvent utilisé par les attaquants – pour récupérer les mots de passe des autres utilisateurs sur le réseau. Le logiciel malveillant contenait également des mots de passe de base codés en dur. Curieusement, il s’agirait des mots de passe les plus utilisés, selon le film « Hackers » de 1995. »
Demande de paiement
Bad Rabbit demande 0,05 BTC de rançon pour libérer le verrou placé sur les fichiers cryptés. Au moment de la rédaction de cet article, 1 BTC vaut environ 5 450 $, ce qui signifie que la demande de rançon initiale serait d’environ 273 $. La note de rançon apparaît sur l’écran du point d’extrémité infecté, dirigeant l’utilisateur vers un service Web dédié.
Une fois sur le site Web de l’attaquant, qui est hébergé sur le réseau Tor pour garder la communication anonyme, la victime est avertie qu’elle n’a qu’environ 41 heures pour payer. La victime voit ensuite un compte à rebours dans lequel elle attend un « mot de passe », c’est-à-dire la clé de décryptage qui lui permettra de déverrouiller ses fichiers. Au moment de cet avis, il n’a pas été confirmé que les attaquants peuvent effectivement décrypter les fichiers.
Une situation en cours
Les attaques de Bad Rabbit se développent à mesure que les fournisseurs de sécurité publient plus d’informations et que les organisations en apprennent davantage et contiennent les attaques. Si vous êtes un client IBM, veuillez consulter X-Force Exchange pour une page dédiée à la réponse aux attaques Bad Rabbit avec les produits IBM Security. Pour des mises à jour techniques provenant directement de la recherche X-Force d’IBM Security, veuillez accéder à notre collection X-Force Exchange, où nos équipes de recherche et de réponse aux incidents fourniront des informations au fur et à mesure de l’évolution de cette situation.
Il est fortement conseillé à toutes les organisations d’informer les employés de l’épidémie, d’expliquer le flux d’infection et de rester extrêmement vigilantes face à Bad Rabbit dans les heures et les jours à venir.
Bad Rabbit n’a pas affecté les entreprises aux États-Unis au moment de ce communiqué, bien qu’un fournisseur d’antivirus ait indiqué que sa télémétrie montre quelques infections aux États-Unis.Compte tenu de cela, si un signe d’infection se produit, informez le Centre de plaintes pour crimes sur Internet (IC3) du FBI dès sa découverte.
En dehors des États-Unis, les organisations sont encouragées à informer leur équipe d’intervention d’urgence communautaire (CERT) et la police de la cybercriminalité de toute infection liée à la campagne Bad Rabbit.
Si vous pensez que votre entreprise a été touchée et que vous avez besoin d’aide, veuillez appeler votre hotline de réponse aux incidents IBM X-Force 24×7:
IRIS EMEA 24×7 Hotline
UAE : (+971) 800 044 424 17
IRIS North America 24×7 Hotline
USA : (+1) 888 241 9812
Danemark : (+45) 4331 4987
Finlande : (+358) 9725 22099
Lettonie : (+371) 6616 3849
Norvège : (+47) 2302 4798
Arabie Saoudite : (+966) 800 844 3872
Arabie Saoudite : (+966) 800 850 0399
Suède : (+46) 8502 52313
UK : (+44) 20 3684 4872
Ne payez pas les attaquants de ransomware
Selon une enquête d’IBM, 70 % des entreprises précédemment touchées par un ransomware ont indiqué avoir payé la rançon pour récupérer les données de l’entreprise. Sur cette partie, 50 % ont payé plus de 10 000 dollars et 20 % plus de 40 000 dollars. Il est important de noter que payer les attaquants ne garantit pas le rétablissement de l’accès.
Il est déconseillé aux organisations et aux personnes touchées par Bad Rabbit de payer les attaquants. Au moment de la rédaction de cet article, les fournisseurs d’antivirus ont publié des signatures et certaines options de décryptage qui peuvent aider à déverrouiller les fichiers cryptés.
L’attaque a très probablement été conçue pour perturber plutôt que pour un gain financier. Plus de conseils sur le confinement et la couverture des produits IBM seront disponibles dans les prochaines heures.
Pour des conseils généraux sur la protection de vos systèmes contre les ransomwares, veuillez consulter notre Guide de réponse aux ransomwares.