Risque(s)

  • Installation du rançongiciel Bad Rabbit et chiffrement des données

Systèmes affectés

  • Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

Résumé

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d'Europe de l'Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés d'infection initiale, Bad Rabbit n'exploite aucune vulnérabilité pour s'installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l'attaquant. De là, l'attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l'utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l'utilisateur devait alors manuellement lancer l'exécution de ce binaire. Ensuite, si l'utilisateur possédait les privilèges administrateurs, la machine était considérée infectée.

Install_flash_player.exe dépose sur le disque C:\Windows\infpub.dat et l'exécute par le biais de rundll32.exe avec les arguments #1 et 15. #1 est l'ordinale de la table d'export servant de point d'entrée et 15 le nombre de minutes avant de lancer la procédure de chiffrement du disque.  Infpub.dat crée deux tâches planifiées. La première est chargée de lancer discpci.exe, dont le rôle est de modifier le Master Boot Record (MBR), afin de pouvoir afficher la note de rançon au prochain démarrage. Discpci.exe communique aussi avec le pilote de DiskCryptor (ici cscc.dat), un logiciel de chiffrement disponible en source ouverte. La deuxième tâche planifiée sert à redémarrer le système et effacer certains événements des journaux. Après au plus dix-huit minutes (15 plus 3) , la procédure de chiffrement des fichiers avec des extensions choisies se lance. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la clé AES récupérée. Bad Rabbit tente également de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz.

Pour se propager dans le réseau interne, Bad Rabbit envoie des requêtes ARP et se fie aux réponses afin de se construire une liste des hôtes présents. Pour chacune de ces adresses, des tentatives de connexion sont effectuées par le biais de requêtes SMB en testant une liste de noms d'utilisateurs/mots de passe couramment utilisés. Si ces tentatives échouent, Bad Rabbit cherche à exploiter la vulnérabilité EternalRomance, corrigée au mois de mars 2017 par Microsoft (cf. section Documentation).

Bad Rabbit et NotPetya possèdent des similitudes au niveau du code ainsi qu'au niveau de l'infrastructure de livraison. Toutefois, une différence fondamentale peut expliquer la différence d'impact. NotPetya était injecté dans le réseau interne par le biais d'une mise à jour d'un logiciel dit de confiance. A l'inverse, Bad Rabbit requiert une action utilisateur, sinon rien ne se passe. Au niveau de la latéralisation, Bad Rabbit est également moins virulent.

Le respect des bonnes pratiques, notamment le guide d'hygiène informatique de l'ANSSI (cf. section Documentation) permet de neutraliser ces vecteurs d'infection.

A ce jour, le CERT-FR n'a pas connaissance de victimes françaises.

Liste de sites légitimes compromis :

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

Serveur de livraison de charge :

  • hxxp://1dnscontrol[.]com/flash_install.php_BAD.
  • hxxp://1dnscontrol[.]com/index.php_BAD.

Fichiers malveillants:

  • fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
  • 1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
  • b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

Documentation