BadRabbit : une APT au service d’un ransomware ?
Lucie FONTAINE 25.10.2017
15 novembre 2017 10:41 0 messages
ESET a détecté des centaines d’occurrences de BadRabbit. La plupart se trouvent en Russie (65 %) et en Ukraine (12,2 %). D’autres pays sont également concernés, tels que la Bulgarie (10,2 %), la Turquie (6,4 %) ou encore le Japon (3,8 %).
Toutes les grandes entreprises victimes de ce malware furent touchées en même temps. Il est possible que le groupe se soit introduit dans les réseaux des victimes avant l’attaque et que l’utilisation des sites compromis soit un leurre.
ESET continue d’enquêter et publiera sa découverte au fur et à mesure sur WeLiveSecurity. Nous restons à votre disposition pour tout complément d’information.
Vous trouverez ci-dessous des informations complémentaires sur le mode opératoire de cette menace.
Selon ESET, BadRabbit utilise l’outil Mimikatz pour voler les identifiants de la victime et se propager dans le réseau. L’une des méthodes de distribution de BadRabbit est le téléchargement forcé, « drive-by » en anglais. Les sites Internet compromis contiennent un code JavaScript malveillant dans les pages ou fichiers .js. Lorsque le code est activé, une fenêtre invite l’utilisateur à télécharger une mise à jour Flash Player®. Si la victime l’installe, le téléchargement d’un fichier exécutable se lance : l’ordinateur est alors verrouillé et affiche la demande de rançon.
BadRabbit se propage via le protocole SMB mais n’utilise pas la vulnérabilité EternalBlue comme ce fut le cas pour NotPetya. Puis il analyse le réseau à la recherche de partages ; enfin, Mimikatz est lancé sur l’ordinateur compromis pour récupérer les informations d’identification.
BadRabbit est une version modifiée de Win32 / Diskcoder.C (NotPetya). Des bogues dans le module de chiffrement des fichiers ont été corrigés, il utilise maintenant DiskCryptor, un logiciel open source utilisé pour le chiffrement complet de disques. Les clés sont générées à l’aide de CryptGenRandom, puis protégées par une clé publique RSA 2048 codée en dur.
Voir en ligne : BadRabbit : une APT au service d’un ransomware ?
Dans la même rubrique
27 février 2019 – Internet vraiment victime d’une attaque massive inédite ?
15 novembre 2017 – Ma Ville Sans Virus
26 juillet 2017 – N’ouvrez pas les courriels suspects !!
26 juillet 2017 – Le malware Petya est détecté comme Win32/Diskcoder.C qui se répand rapidement
20 octobre 2016 – ESET découvre un virus qui infecte principalement la France