Méfiez vous du méchant lapin !
En cours : campagne de rançongiciel "Bad Rabbit", cousin de Petya et NotPetya
Diffusion par installation d'une fausse mise à jour de Flash Player
Bulletin d'alerte du CERTFR - 25 octobre 2017
Objet : Campagne de rançongiciel Bad Rabbit
Référence : CERTFR-2017-ALE-016
Risque(s)
- Installation du rançongiciel Bad Rabbit et chiffrement des données
Systèmes affectés
- Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.
Résumé
Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d'Europe de l'Est.
Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.
Cependant, dans les cas constatés, Bad Rabbit n'exploite aucune vulnérabilité pour s'installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l'attaquant. De là, l'attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l'utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l'utilisateur devait alors manuellement lancer l'exécution de ce binaire. Ensuite, si l'utilisateur possédait les privilèges administrateurs, Bad Rabbit était installé et la machine considérée infectée.
Bad Rabbit utilise DiskCryptor, un logiciel en source ouverte, pour chiffrer les fichiers présents sur la machine, crée une tâche planifiée pour redémarrer le système et modifie le Master Boot Record (MBR) afin de pouvoir afficher la note de rançon au prochain démarrage. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la rançon payée.
Pour se propager dans le réseau interne, Bad Rabbit utilise le protocole SMB. Toutefois, il n'exploite aucune vulnérabilité. Il tente de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz. Il embarque également une liste de noms d'utilisateurs/mots de passe couramment utilisés. Le respect des bonnes pratiques, notamment le guide d'hygiène informatique de l'ANSSI (cf. section Documentation) permet de neutraliser ce vecteur d'infection.
A ce jour, le CERT-FR n'a pas connaissance de victimes françaises.
Liste de sites légitimes compromis :
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
Serveur de livraison de charge :
- hxxp://1dnscontrol[.]com/flash_install.php_BAD.
- hxxp://1dnscontrol[.]com/index.php_BAD.
Fichiers malveillants:
- fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
- 1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
- b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe
Documentation
- Billet de blogue ESET
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
- Billet de Blogue Kaspersky
https://securelist.com/bad-rabbit-ransomware/82851/
- Billet de blogue Talos
http://blog.talosintelligence.com/2017/10/bad-rabbit.html
- Bonnes pratiques
https://www.ssi.gouv.fr/administration/bonnes-pratiques/