Apparue hier, Bad Rabbit est une nouvelle souche du ransomware GoldenEye, qui a commencé par frapper un nombre d'institutions de premier plan en Russie et en Ukraine. La nouvelle famille de ransomwares est surnommée Bad Rabbit et semble cibler les infrastructures critiques et les entités de haut niveau dans des régions de l’ancien bloc soviétique.

Notre analyse préliminaire révèle que cette nouvelle souche de ransomware accompagne plusieurs outils open source qui sont utilisés pour le chiffrement des données et les mouvements latéraux, comme expliqué ci-dessous.

Premiers résultats d’analyse de l'échantillon

Ceci est une analyse continue et les informations présentées ici seront mises à jour plusieurs fois jusqu'à ce que l'échantillon soit entièrement répertorié, alors assurez-vous de suivre les mises à jour sur cet article ou de suivre notre page Twitter.

Le processus d'infection commence par un faux programme d'installation Adobe Flash téléchargé à partir de sites Web compromis.

Ce faux programme d'installation Flash contient la charge utile du ransomware dans une superposition de compressions ZLIB. Une fois déchiffré, il dépose et exécute le véritable ransomware (identifié en tant que b14d8faf7f0cbcfad051cefe5f39645f).

La charge utile de ransomware mentionnée ci-dessus contient pas moins de six outils différents sous l’apparence de ressources compressées ZLIB, qui sont utilisés à des fins de chiffrage, ainsi que pour la propagation latérale. Ces outils sont :

Le composant de chiffrement (identifié comme étant 5b929abed1ab5406d1e55fea1b344dab)

Le bootloader (identifié comme étant b14d8faf7f0cbcfad051cefe5f39645f)

Mimikatz - un utilitaire pour extraire les mots de passe et les tickets d'authentification de la mémoire

Un binaire Mimikatz compilé pour x86 (identifié comme 37945c44a897aa42a66adcab68f560e0)
Un binaire Mimikatz compilé pour x64 (identifié comme 347ac3b6b791054de3e5720a7144a977)

DiskCryptor - une solution de chiffrement de partition open source

Un driver DiskCryptor compilé pour x86 (identifié comme b4e6d97dafd9224ed9a547d52c26ce02)
Un driver DiskCryptor compilé pour x64 (identifié comme edb72f4a46c39452d1a5414f7d26454a)

Ce que nous savons jusqu'ici

Bad Rabbit est extrêmement similaire à GoldenEye / NotPetya à la fois structurellement et d’un point de vue plus large.

Il cible l'infrastructure critique ukrainienne et est hautement viral en raison de son implémentation de Mimikatz qui lui permet de passer d'un poste de travail infecté à un autre au sein d'une organisation.

Il dispose également d'un chiffrement de disque via le driver DiskCryptor afin qu'il puisse interférer avec le processus de démarrage normal et empêcher ce dernier sur l'ordinateur.

IMAGE : Des noms de personnages de Game of Thrones sont référencés sur cet échantillon.

Dernier point, mais non des moindres, alors que le composant ransomware référence les personnages Game of Thrones, il possède également une routine de hachage de processus extrêmement similaire à celle utilisée par GoldenEye pour vérifier les solutions de sécurité installées localement avant de crypter le MBR (le master boot record).

Si vous utilisez un produit antimalware Bitdefender pour particuliers ou entreprises, vous êtes à l’abri, car nos solutions détectent cette menace comme suit :

Gen: Heur.Ransom.BadRabbit.1 et Gen: Variant.Ransom.BadRabbit.1.

Les utilisateurs de Bitdefeder Elite sont protégés par des algorithmes de machine learning plus agressifs qui signalent cette menace comme suit :

Gen:Illusion.ML.Skyline.10101 depuis son apparition (zero day).

Visitez le la boutique Bitdefender.