Une nouvelle attaque au ransomware détectée le mardi 24 octobre touche actuellement l’Ukraine et la Russie. En effet, le métro de Kiev ainsi que plusieurs médias russes en ont été la cible. Cette attaque s’est propagée à la Russie, l’Ukraine, la Turquie et l’Allemagne.

La variante de ce malware présente des similitudes avec NotPetya, qui avait également visé l’Ukraine au cours de l’année dernière. Ce ransomware, nommé Bad Rabbit, chiffre les données du système et redirige l’utilisateur vers un service caché Tor afin de procéder au paiement de la rançon. Sur le site, les opérateurs exigent la somme de 0.05 bitcoin, ce qui représente environ 243 euros. Un décompte de 40h est alors affiché, indiquant le temps restant pour payer avant que la somme n’augmente.

La nouvelle famille de ransomwares est surnommée Bad Rabbit et semble cibler les infrastructures critiques et les entités de haut niveau dans des régions de l’ancien bloc soviétique. L’analyse préliminaire faite par BitDefender révèle que cette nouvelle souche de ransomware accompagne plusieurs outils open source qui sont utilisés pour le chiffrement des données et les mouvements latéraux.

Le processus d’infection commence par un faux programme d’installation Adobe Flash téléchargé à partir de sites Web compromis. Ce faux programme d’installation Flash contient la charge utile du ransomware dans une superposition de compressions ZLIB. Une fois déchiffré, il dépose et exécute le véritable ransomware (identifié en tant que b14d8faf7f0cbcfad051cefe5f39645f).

Bad Rabbit est extrêmement similaire à GoldenEye / NotPetya à la fois structurellement et d’un point de vue plus large. Il cible l’infrastructure critique ukrainienne et est hautement viral en raison de son implémentation de Mimikatz qui lui permet de passer d’un poste de travail infecté à un autre au sein d’une organisation. Il dispose également d’un chiffrement de disque via le driver DiskCryptor afin qu’il puisse interférer avec le processus de démarrage normal et empêcher ce dernier sur l’ordinateur.

Dernier point, mais non des moindres, alors que le composant ransomware référence les personnages Game of Thrones, il possède également une routine de hachage de processus extrêmement similaire à celle utilisée par GoldenEye pour vérifier les solutions de sécurité installées localement avant de crypter le MBR (le master boot record).

Selon Vincent Lavergne, expert sécurité chez F5 Networks, « L’infection par le ransomware Bad Rabbit n’est pas détectée par la majorité des solutions antivirus courantes, ce qui signifie que les utilisateurs peuvent être infectés sans le savoir. L’analyse initiale indique que le script de ce programme malveillant identifie les utilisateurs cibles et leur présente une fausse invitation de mise à jour Adobe Flash. Lorsque l’utilisateur accepte cette dernière, les logiciels malveillants sont téléchargés et l’attaque par chiffrement débute. Il n’y a pas de solution miracle pour se protéger contre ce type d’attaque. Les meilleures méthodes actuellement disponibles s’appuient sur des sauvegardes fiables hébergées en dehors du réseau et le maintien d’un plan d’intervention à jour. En outre, les organisations ont besoin de systèmes tels que SSL pour inspecter les terminaux. Il est également important de filtrer et de surveiller les emails pour détecter les attaques de type phishing, d’inspecter le trafic chiffré susceptible de cacher des logiciels malveillants, et de restreindre les privilèges d’administration afin de limiter les dommages causés par un compte compromis. Et comme toujours, toutes les organisations doivent veiller à ce que des formations et une éducation de fond des utilisateurs soient mise en œuvre régulièrement. »