Actualités de la sécurité

Le ransomware BadRabbit infecte les aéroports et les métros

Threat Intelligence Team, 26 octobre 2017

Un ransomware surnommé "BadRabbit" et basé sur le code NotPetya est en train de se propager.

Blog post written by Ladislav Zezula, Jakub Kroustek and Martin Hron

Le 24 octobre, une nouvelle souche de ransomware, BadRabbit, a commencé à se répandre. Cette fois-ci, les cybercriminels ont utilisé des sites d'information populaires russes pour diffuser le rançongiciel. 

Malgré le recyclage de certains codes de NotPetya, BadRabbit ne s'est pas propagé de manière aussi généralisée que WannaCry ou NotPetya. Il a cependant réussi à infecter le ministère des Infrastructures de l'Ukraine, l'aéroport d'Odessa, le métro de Kiev et deux groupes de médias russes.

BadRabbit demande une rançon de .05 Bitcoin soit environ 276 dollars.

Selon les données du Laboratoire des menaces d'Avast, des utilisateurs de 15 pays ont été ciblés jusqu'à présent. Le pays le plus ciblé est la Russie, avec 71 % des détections observées, suivie de l'Ukraine avec 14 % et de la Bulgarie avec 8 %.

Alors que les États-Unis et d'autres pays d'Europe centrale et orientale, y compris la Pologne et la Roumanie, ont également été touchés, le nombre de rencontres dans ces pays, y compris les États-Unis, était bien inférieur à ce que nous avons observé en Russie. 

Cependant, au moment de la rédaction, nous calculons un taux de détection de seulement un pour cent ou moins dans chacune de ces régions.

Carte des attaques de BadRabbit

BadRabbit_Avast_Map_25102017.png

Comment BadRabbit se propage-ti-il ?

Pour infecter les ordinateurs avec la souche BadRabbit, les cybercriminels ont infecté des sites d'informations populaires comme Russian Interfax et Fontanka, dans le but d'attaquer largement les visiteurs de ces sites via une attaque abreuvoir. 

Bien que l'un des objectifs de ransomware est de collecter de l'argent, un autre objectif peut très bien être de désactiver les opérations d'une entreprise. Les précédentes campagnes de rançongiciels ont montré que cela pouvait être réalisé - car certaines grandes entreprises auraient même dû renvoyer leurs employés à la maison le lendemain de l'infection de leurs systèmes. 

Le script malveillant injecté sur ces sites Web compromis a incité les visiteurs à télécharger une fausse mise à jour du programme d'installation Adobe Flash. Une fois exécuté, BadRabbit commence à faire son travail.

Une fois que BadRabbit infecte un ordinateur, il tente de se propager dans le réseau connecté pour infecter plus d'ordinateurs. BadRabbit dispose d'un ensemble de combinaisons de connexion et de mot de passe par défaut qui sont utilisées pour les mouvements latéraux dans le réseau local. 

De plus, il utilise Mimikatz pour extraire d'autres combinaisons utilisées par l'utilisateur infecté. Cette technique était auparavant utilisée par NotPetya. Le mouvement latéral est effectué via le protocole SMB, mais contrairement à WannaCry et NotPetya, aucun exploit n'a été utilisé cette fois. 

L'étalement dans les réseaux internes ne repose que sur les mots de passe extraits ou sur une attaque par dictionnaire et sur les connexions, ou sur des partages réseau entièrement ouverts.

Mimikatz exploite un processus sous Windows appelé LSASS (Service de sous-système d'autorité de sécurité locale) qui stocke les hachages et les mots de passe utilisés lors de diverses sessions d'authentification, par exemple lors de l'accès à un dossier partagé stocké sur un autre ordinateur. 

Pour accéder au dossier partagé et / ou à un autre ordinateur, un nom d'utilisateur et un mot de passe doivent être saisis. Les informations d'identification sont ensuite stockées dans LSASS afin qu'elles n'aient pas besoin d'être saisies à nouveau pendant la session active.

Il analyse la mémoire du LSASS pour trouver des paires d'informations d'identification, puis les supprime. Les cybercriminels peuvent les utiliser pour autoriser l'accès à des partages distants, ce dont a besoin le ransomware comme BadRabbit pour crypter des partages distants ou pour les étendre à d'autres machines.

Pour empêcher Mimikatz de faire son travail, il est possible d'exécuter LSASS en mode protégé sur les systèmes Windows 8.1 et supérieurs. Mais, malheureusement, cette option n'est pas activée par défaut.

Quel est son processus de chiffrement ?

Plutôt que de réinventer la roue, les cybercriminels derrière BadRabbit ont simplement réutilisé des parties du code de NotPetya. Tout ce qu'ils avaient à faire était de corriger les bugs et d'adapter le code aux nouvelles exigences.

BadRabbit chiffre le disque et les fichiers sur l'ordinateur infecté. Les fichiers sont cryptés en premier, en utilisant la cryptographie Windows intégrée (Crypto-API). Simultanément, un logiciel de cryptage de disque, Diskcrypt, est installé sur le PC et préparé pour le redémarrage du système, après quoi le cryptage au niveau du disque a lieu. BadRabbit utilise le logiciel Diskcrypt légitime pour cette tâche, qui a plus de trois ans.

Au cours du processus d'installation de Diskcryptor, le programme malveillant crée un nouveau service appelé "cscc". En cas d'échec, le service Windows "cdfs" (système de fichiers CD-ROM) existant est piraté à la place.

BadRabbit crypte également les fichiers sur le système. Le fichier d'origine est chiffré dans son emplacement d'origine, ce qui réduit considérablement les chances de le récupérer sans la clé de déchiffrement. Parfois, les souches de ransomware écrivent le contenu du fichier crypté sur un nouveau fichier qui supprime le fichier original par la suite. 

Cependant, si un fichier est supprimé, il peut toujours être retrouvé quelque part sur le disque de l'ordinateur et ainsi être récupéré.

BadRabbit crypte les fichiers en utilisant AES-128 qui est assez fort pour qu'il ne puisse pas être craqué par force brute et utilise la même clé de cryptage pour tous les fichiers sur le PC infecté. Les fichiers cryptés sont marqués par une chaîne "cryptée" à la fin de leur contenu.

La clé de chiffrement est une clé aléatoire de 33 octets, générée à l'aide de CryptGenRandom - un générateur de nombres aléatoires de haute qualité. Cette clé est convertie en un mot de passe de 32 caractères qui est ensuite envoyé à un hachage MD5. Le résultat du hachage MD5 est la clé pour le cryptage AES-128, c'est-à-dire la clé de cryptage de fichier.

La clé AES-128 est emballée avec le nom de l'ordinateur, le nom de domaine, le fuseau horaire et une valeur de sel aléatoire. Il est ensuite crypté par la clé publique RSA qui est codée en dur dans le binaire. Le résultat est ensuite stocké dans le fichier X: \ readme.txt (où 'X:' est un lecteur fixe sur le système) sous la forme d'un "ID utilisateur", qui est également présenté sur l'écran de démarrage.

Contrairement à NotPetya, qui a frappé en Juillet, la génération de la clé de chiffrement est faite correctement cette fois. Cela signifie que les fichiers chiffrés par BadRabbit ne sont pas corrompus, alors que les fichiers affectés par NotPetya l'étaient.

Une référence à Game of Thrones ?

Afin de contourner la détection antivirus, le ransomware utilise des lignes de commande compliquées pour éviter ou tromper les parseurs de ligne de commande et inclure des références à Game of Thrones. 

Un exemple d'une telle ligne de commande est: C:\Windows\system32\cmd.exe /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "C:\Windows\system32\cmd.exe /C Start \"\" \"C:\Windows\dispci.exe\" -id 4294681185 && exit" ce qui signifie en fait: C:\Windows\dispci.exe -id 4294681185

Si les cybercriminels avaient utilisé la ligne de commande réelle, alors le logiciel de chiffrement de disque aurait été immédiatement détecté par un logiciel antivirus.

Avast et AVG détectent BadRabbit comme Win32: Malware-gen, protégeant les utilisateurs Avast et AVG de BadRabbit.

Comment éviter de tomber dans le terrier ?

Il existe une sorte de fichier de vaccin qui empêchera BadRabbit d'infecter un ordinateur, si le fichier existe. 

Si vous exécutez le système en tant qu'administrateur et qu'il existe un fichier nommé "C:\Windows\cscc.dat", le programme malveillant ne s'exécutera pas. Vous pouvez créer ce fichier en créant un fichier txt et en le renommant : cscc.dat et enregistrez-le dans C:\Windows\.

Si votre PC est déjà infecté par BadRabbit, nous vous déconseillons de payer la rançon, comme avec tous les rançongiciels. La rançon payante prouve aux cybercriminels que le ransomware est un moyen efficace de gagner de l'argent et les encourage à continuer à le répandre.

Pour vous protéger contre les rançongiciels, tel BadRabbit :

  • Installez un antivirus sur tous les appareils possibles, y compris sur votre smartphone. Un logiciel antivirus bloquera les rançongiciels, si vous le rencontrez.
  • La mise à jour de tous vos logiciels lorsqu'une nouvelle version est disponible peut aider à empêcher les rançongiciels d'exploiter une vulnérabilité logicielle pour infecter votre appareil. Alors que, dans ce cas, les victimes étaient invitées à mettre à jour leur Adobe Flash et pensaient faire la bonne chose, il est important de ne mettre à jour que les programmes des canaux de distribution officiels.
  • Être prudent peut aussi grandement aider à éviter les rançongiciels. Bien que cette fois-ci les sites légitimes aient été infectés, en général, vous devriez éviter les sites Web louches, faites attention à ce que vous téléchargez et n'ouvrez aucun lien ou pièce jointe provenant d'un expéditeur suspect ou inconnu. Beaucoup de gens ne pensent pas qu'un document Word ou Excel ordinaire puisse mener à un téléchargement malveillant, ce qui explique pourquoi les cybercriminels les utilisent pour leurs attaques. Les pièces jointes malveillantes, envoyées sous la forme d'un document Word ou Excel, demandent souvent l'activation des macros, ce qui permet au document de télécharger des logiciels malveillants, y compris des rançongiciels, sur Internet.
  • Bien qu'il ne puisse pas vous aider à éviter les ransomwares, sauvegarder vos données régulièrement permettra d'éviter la perte de données, au cas où vous seriez victime d'un ransomware. Si vous sauvegardez régulièrement vos données, hors ligne, sur un disque dur externe non connecté à Internet, vous réduisez considérablement le risque que quelqu'un touche vos données via Internet.

Nous continuons à surveiller et analyser le rançongiciel BadRabbit. Comme nous découvrons de nouvelles informations, les mises à jour de nos utilisateurs seront publiées.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.