BadRabbit : une APT au service d’un ransomware ?

ESET a détecté des centaines d’occurrences de BadRabbit. La plupart se trouvent en Russie (65 %) et en Ukraine (12,2 %). D’autres pays sont également concernés, tels que la Bulgarie (10,2 %), la Turquie (6,4 %) ou encore le Japon (3,8 %).
Toutes les grandes entreprises victimes de ce malware furent touchées en même temps. Il est possible que le groupe se soit introduit dans les réseaux des victimes avant l’attaque et que l’utilisation des sites compromis soit un leurre.
ESET continue d’enquêter et publiera sa découverte au fur et à mesure sur WeLiveSecurity. Nous restons à votre disposition pour tout complément d’information.

Vous trouverez ci-dessous des informations complémentaires sur le mode opératoire de cette menace.
Selon ESET, BadRabbit utilise l’outil Mimikatz pour voler les identifiants de la victime et se propager dans le réseau. L’une des méthodes de distribution de BadRabbit est le téléchargement forcé, « drive-by » en anglais. Les sites Internet compromis contiennent un code JavaScript malveillant dans les pages ou fichiers .js. Lorsque le code est activé, une fenêtre invite l’utilisateur à télécharger une mise à jour Flash Player®. Si la victime l’installe, le téléchargement d’un fichier exécutable se lance : l’ordinateur est alors verrouillé et affiche la demande de rançon.
BadRabbit se propage via le protocole SMB mais n’utilise pas la vulnérabilité EternalBlue comme ce fut le cas pour NotPetya. Puis il analyse le réseau à la recherche de partages ; enfin, Mimikatz est lancé sur l’ordinateur compromis pour récupérer les informations d’identification.
BadRabbit est une version modifiée de Win32 / Diskcoder.C (NotPetya). Des bogues dans le module de chiffrement des fichiers ont été corrigés, il utilise maintenant DiskCryptor, un logiciel open source utilisé pour le chiffrement complet de disques. Les clés sont générées à l’aide de CryptGenRandom, puis protégées par une clé publique RSA 2048 codée en dur.