Bad Rabbit : Découverte d’un nouveau rançongiciel

Un nouveau rançongiciel a été découvert le 24 octobre 2017 : Bad Rabbit.  Ce dernier a été conçu en Juin 2017 et requiert une interaction de l’utilisateur pour le téléchargement du malware. Il n’exploite aucune vulnérabilité pour infecter le système cible.

Ce nouveau rançongiciel a entraîné des perturbations dans l’aéroport d’Odessa en Ukraine, ainsi que dans des médias et stations de métro en Russie et en Ukraine. La Turquie, la Bulgarie, la Pologne et le Japon ont aussi été touchés. Jusqu’à présent Bad Rabbit a ciblé principalement la Russie et l’Europe de l’est mais il se peut que le malware se propage vers d’autres pays, notamment au sein des entreprises internationales où les malwares peuvent se propager en interne entre les pays.

Scénario d’infection :

Quand une victime visite un site infecté, une fenêtre apparaît suggérant le téléchargement d’une mise à jour FlashPlayer. Si la victime accepte cette suggestion un fichier malveillant sera téléchargé et exécuté.

Le maliciel va ensuite essayer d’élever ses privilèges sur la machine infectée et créer des tâches planifiées pour chiffrer le disque et redémarrer le système pour afficher la demande de rançon.

Scénario de propagation :

Le malware utilise un composant  du protocole SMB pour infecter d’autres systèmes et une variante de l’outil Mimikatz pour l’extraction des identifiants de connexion dans la mémoire vive des machines. Talos a ainsi constaté que le fichier binaire Mimikatz de Bad Rabbit est semblable à celui utilisé par Nyetya, une campagne de rançongiciel se basant sur Petya NotPetya qui s’est déroulée en 2016.

Mesures de protection :

La majorité des solutions antivirus reconnaissent aujourd’hui l’empreinte des fichiers créés par le malware. Néanmoins, pour se protéger contre ce type d’attaques, nous recommandons :

  • De manière générale, respecter les recommandations génériques relatives aux rançongiciels publiées par l’ANSSI (Agence nationale de la sécurité des systèmes d'information) : https://www.cert.ssi.gouv.fr/information/CERTFR-2017-INF-001/
  • Pour les gestionnaires des systèmes d’information :
    • Limiter au maximum l'exposition du service SMB;
    • Respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l'élévation de privilèges et la propagation latérale de l'attaquant ;
  • Pour les utilisateurs du système d’information :
    • Rester vigilant vis-à-vis des sites suspects et des demandes de téléchargements non sollicitées.