Discussion :

[Stéphane le calme]

Bad Rabbit : le nouveau malware qui a frappé l'Ukraine et la Russie,
en se diffusant via des mises à jour factices de Flash

Après WannaCry, c’est le ransomware Bad Rabbit qui vient faire parler de lui. Le malware a été diffusé via plusieurs médias très consultés en Russie, dont le site d’informations Fontanka.ru. L'utilisateur voit s’afficher une fenêtre avec une suggestion pour mettre à jour FlashPlayer. Si l'utilisateur accepte cette mise à jour, un fichier malveillant nommé install_flash_player.exe est téléchargé et infecte l'hôte.

Pour le déchiffrement, les attaquants exigent 0,05 BTC (soient 237 euros au taux de change actuel). Après l'infection, le malware élève ses privilèges sur la machine locale afin de se propager. Sur le réseau local, cela a été effectué par SMB, en utilisant l'extraction des mots de passe LSASS de l'ordinateur compromis, ou une bibliothèque de mots de passe interne.

Une fois l’opération terminée, les utilisateurs vont voir s’afficher un message qui ressemble à la capture d’écran ci-dessous. Il contient un code individuel et une adresse pour un site de torrent: caforssztxqzf2nm.onion, qui liste une minuterie automatique. Sur le site, les victimes sont tenues d'entrer leur code personnel, après quoi un portefeuille Bitcoin apparaît. De plus, sur le site figure un compte à rebours qui indique le temps restant à la victime pour payer la rançon avant que sa valeur n’augmente.

« Il semble que nous faisons face à une nouvelle épidémie », s’est alarmée la société russe spécialisée en sécurité informatique Group-IB, dans un communiqué. La même source a affirmé que les victimes se comptent parmi « Un certain nombre d’établissements publics et de sites stratégiques en Ukraine. »

En effet, l’aéroport d’Odessa, dans le sud de l’Ukraine, a été touché ainsi que les serveurs et les ordinateurs du métro de Kiev, selon Group-Ib. Mais d’autres pays ont également été touchés, comme le rapporte l’éditeur d’antivirus Kaspersky : « La plupart des cibles sont situées en Russie. Des attaques moins nombreuses, mais semblables ont également été répertoriées dans d’autres pays, dont l’Ukraine, la Turquie et l’Allemagne. Au total, il y a près de 200 cibles. »

Patrice Puichaud, évangéliste chez SentinelOne, a déclaré « Un nouveau ransomware baptisé Bad Rabbit a été détecté et ciblé pour le moment plus particulièrement la Russie et l'Ukraine (65% de victimes en Russie, 12,2 % en Ukraine, puis Europe de l'Est/Turquie et Japon). Ce ransomware qui était inconnu jusqu'à présent, partage environ 13 % du code de Petya et se propage à travers des sites Web. Il a infecté en utilisant sous la forme d'une installation de Flash Player (install_flash_player.exe). Une fois exécuté, il s'est comporté comme un ransomware traditionnel, chiffrant les fichiers et demandant une rançon pour les déchiffrer. Il modifie également le chargeur de démarrage comme le fait Petya/notPetya. Les cybercriminels ont fait preuve d'originalité avec les développeurs du ransomware et sont manifestement inspirés de Game of Throne pour ajouter au code du ransomware des références aux personnages de la série. »

« Pour se protéger, on ne peut que rappeler le respect des quatre règles de base: éduquer les utilisateurs, installer les mises à jour, éliminer les outils de sauvegarde, mettre en œuvre des solutions de protection efficaces qui exploitent l'intelligence artificielle pour détecter et arrêter les menaces même inconnues. Les chercheurs de SentinelOn a également confirmé que notre plaque-forme de protection des détecteurs détecte et bloque immédiatement ce nouveau ransomware, avant l'exécution et sans besoin du connaitre. »

Vincent Lavergne, expert sécurité chez F5 Networks, est aussi allé de son commentaire : « L'infection par le ransomware Bad Rabbit n'est pas détectée par la majorité des solutions, car les virus peuvent être infectés sans savoir. L'analyse initiale indique que le script de ce programme permet d'identifier les utilisateurs et leur offre une invitation à la mise à jour Adobe Flash. Lorsque l'utilisateur accepte cette dernière, les logiciels malveillants sont téléchargés et l'attaque par chiffrement débute. »

« Il n'y a pas de solution miracle pour se protéger contre ce type d'attaque. Les meilleures méthodes actuellement disponibles s'appuient sur des sauvegardes hébergées en dehors du réseau et le maintien d'un plan d'intervention à jour. En outre, les organisations ont besoin de systèmes tels que SSL pour inspecter les clients. Il est également important de filtrer et de surveiller les courriels pour détecter les attaques de type phishing, d'inspecter le trafic susceptible de cacher les logiciels malveillants, et de restreindre les privilèges d'administration afin de limiter les dommages causés par un compromis . Et comme toujours, toutes les organisations doivent veiller à ce que les formations et une éducation de fond des utilisateurs soient mises en œuvre régulièrement. »

Notons qu’Amit Serper, un chercheur en sécurité, a assuré qu’il a testé une méthode de protection face à Bad Rabbit en créant simplement des fichiers comme vous pouvez le constater sur son Tweet.

Source : Kaspersky, Group-IB, Tweet Amit Serper

Voir aussi :

Windows 10 : avec sa fonctionnalité « Controlled Folder Access », Microsoft espère mieux vous protéger des ransomwares grâce à Windows Defender
Les développeurs de ransomwares se font de plus en plus d'argent dans la vente sur le Dark Web, une étude parle d'une augmentation annuelle de 2502 %

[Skury]

«Pour se protéger, on ne peut que rappeler le respect des quatre règles de base: éduquer les utilisateurs, installer les mises à jour, éliminer les outils de sauvegarde (??), mettre en œuvre des solutions de protection efficaces qui exploitent l'intelligence artificielle pour détecter et arrêter les menaces même inconnues. Les chercheurs de SentinelOn aont également confirmé que notre plaqueplate-forme de protection des détecteurs détecte (??) et bloque immédiatement ce nouveau ransomware, avant l'exécution et sans besoin du connaitre (??).»

Quelques petits soucis avec la traduction de cette citation...

Mais merci pour l'information !

[transgohan]

Notons qu’Amit Serper, un chercheur en sécurité, a assuré qu’il a testé une méthode de protection face à Bad Rabbit en créant simplement des fichiers comme vous pouvez le constater sur son Tweet.

Très intéressant comme partage.

[Stéphane le calme]

Certaines victimes du ransomware Bad Rabbit pourraient parvenir à récupérer leurs fichiers,
en profitant de deux erreurs opérationnelles

Après WannaCry, c’est le ransomware Bad Rabbit qui a fait parler de lui. Le malware a été diffusé via plusieurs médias très consultés en Russie, dont le site d’informations Fontanka.ru. L'utilisateur voit s’afficher une fenêtre avec une suggestion pour mettre à jour FlashPlayer. Si l'utilisateur accepte cette mise à jour, un fichier malveillant nommé install_flash_player.exe est téléchargé et infecte l'hôte.

Pour le déchiffrement, les attaquants exigent 0,05 BTC. Après l'infection, le malware élève ses privilèges sur la machine locale afin de se propager. Sur le réseau local, cela a été effectué par SMB, en utilisant l'extraction des mots de passe LSASS de l'ordinateur compromis, ou une bibliothèque de mots de passe interne.

Une fois l’opération terminée, les utilisateurs vont voir s’afficher un message qui ressemble à la capture d’écran ci-dessous. Il contient un code individuel et une adresse pour un site de torrent : caforssztxqzf2nm.onion, qui liste une minuterie automatique. Sur le site, les victimes sont tenues d'entrer leur code personnel, après quoi un portefeuille Bitcoin apparaît. De plus, sur le site figure un compte à rebours qui indique le temps restant à la victime pour payer la rançon avant que sa valeur n’augmente.

Cependant, selon Kaspersky, il est possible pour certains utilisateurs extrêmement chanceux de récupérer des fichiers verrouillés par le ransomware en raison de deux erreurs opérationnelles de la part des auteurs du malware.

La faille la plus importante des deux est que Bad Rabbit ne supprime pas les shadowcopy de volume. Pour rappel, dans la syntaxe et les paramètres des commandes DiskPart, lorsque la commande attributes reçoit le paramètre shadowcopy, cela indique que le volume est un volume de cliché instantané, ce qui permet d’effectuer des copies de sauvegarde manuelles ou automatiques de fichiers ou de volumes, même lorsqu'ils sont utilisés.

Parce que le ransomware fonctionne en créant une copie d'un fichier, en chiffrant la copie puis en supprimant l'original, tous les fichiers chiffrés sont à ce point "en cours d'utilisation" et une shadow copy est créée sur le disque. Ces fichiers cachés (invisibles) sont conservés sur disque pendant des périodes indéterminées, en fonction de l'espace libre disponible.

La plupart des familles de ransomwares suppriment les volumes masqués afin d'empêcher le logiciel de récupération de disque de trouver des copies des fichiers originaux non chiffrés.

Selon Kaspersky, les éditeurs du logiciel Bad Rabbit n'ont pas créé de routine pour supprimer ces fichiers : « Nous avons découvert que Bad Rabbit ne supprime pas les clichés instantanés après le chiffrement des fichiers de la victime. Cela signifie que si les clichés instantanés ont été activés avant l'infection et si le chiffrement complet du disque n'a pas eu lieu pour une raison quelconque, la victime peut restaurer les versions originales des fichiers chiffrés par le biais du mécanisme Windows standard ou d'un utilitaire tierce partie. »

Bien que les copies de volume ne garantissent pas que les victimes puissent récupérer tous leurs fichiers, elles leur permettent au moins de récupérer certains documents.

La seconde faille que les chercheurs ont découverte, qui est quant à elle un peu plus difficile à exploiter, est relative aux mots de passe de déchiffrement.

Comme d’autres familles de ransomwares, Bad Rabbit va chiffrer les fichiers de la victime, en s’attaquant au MFT (Master File Table) et en remplaçant le MBR (Master Boot Record) par un écran de démarrage personnalisé.

Sur cet écran de démarrage personnalisé, Bad Rabbit affiche une valeur « clé d'installation personnelle # 1 » que les victimes doivent entrer sur un site Tor après avoir payé la rançon et reçu le mot de passe de déchiffrement.

« Dans le cadre de notre analyse, nous avons extrait le mot de passe généré par le logiciel malveillant lors d'une session de débogage et tenté d'entrer ce mot de passe lorsque le système a été verrouillé après le redémarrage », ont déclaré les chercheurs de Kaspersky. « Le mot de passe a été validé et le processus de démarrage s'est poursuivi. »

Et les chercheurs ont continué en disant que « Malheureusement, nous devons conclure qu'à ce stade, il est impossible de déchiffrer les fichiers et les disques des victimes sans la clé privée RSA-2048 de l'acteur malveillant. Les clés de cryptage symétriques sont générées de manière sécurisée du côté du ransomware, ce qui rend les tentatives de deviner les clés irréalisables en pratique.

« Cependant, nous avons trouvé une faille dans le code de dispci.exe : le malware n'efface pas le mot de passe généré de la mémoire, ce qui signifie qu'il y a une petite chance de l'extraire avant la fin du processus dispci.exe. »

Source : Kaspersky, Microsoft (shadowcopy)