Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Virus

BULLETIN D’ALERTE DU CERT-FR > Campagne de #rançongiciel Bad Rabbit > CERTFR-2017-ALE-016 > #ransomware


mercredi 25 octobre 2017

RISQUE(S)

  • Installation du rançongiciel Bad Rabbit et chiffrement des données

SYSTÈMES AFFECTÉS

  • Tous les systèmes d’exploitations Windows peuvent être victimes de ce logiciel malveillant.

RÉSUMÉ

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d’Europe de l’Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés, Bad Rabbit n’exploite aucune vulnérabilité pour s’installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l’attaquant. De là, l’attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l’utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l’utilisateur devait alors manuellement lancer l’exécution de ce binaire. Ensuite, si l’utilisateur possédait les privilèges administrateurs, Bad Rabbit était installé et la machine considérée infectée.

Bad Rabbit utilise DiskCryptor, un logiciel en source ouverte, pour chiffrer les fichiers présents sur la machine, crée une tâche planifiée pour redémarrer le système et modifie le Master Boot Record (MBR) afin de pouvoir afficher la note de rançon au prochain démarrage. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la rançon payée.

Pour se propager dans le réseau interne, Bad Rabbit utilise le protocole SMB. Toutefois, il n’exploite aucune vulnérabilité. Il tente de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz. Il embarque également une liste de noms d’utilisateurs/mots de passe couramment utilisés. Le respect des bonnes pratiques, notamment le guide d’hygiène informatique de l’ANSSI (cf. section Documentation) permet de neutraliser ce vecteur d’infection.

A ce jour, le CERT-FR n’a pas connaissance de victimes françaises.

Lire la suite…


Kaspersky Lab > Bad Rabbit : une nouvelle épidémie de ransomware progresse

Cet article est mis à jour au fur et à mesure que nos experts trouvent de nouvelles données sur le malware.

Nous avons déjà vu deux grandes attaques de ransomwares à grande échelle cette année : le tristement célèbre WannaCry et ExPetr (également connu comme Petya et NotPetya). Il semblerait qu’une nouvelle attaque soit en cours : le nouveau malware s’appelle Bad Rabbit – c’est tout du moins le nom indiqué sur le site internet du darknet mentionné sur le message de rançon.

Ce que nous savons pour le moment, c’est que le ransomware Bad Rabbit a infecté plusieurs grands organes de presse russes dont l’agence d’information Interfax et Fontanka.ru. L’aéroport international d’Odessa a signalé une cyberattaque sur son système d’information, mais nous ne savons pas encore s’il s’agit de la même attaque.

Les criminels qui se cachent derrière Bad Rabbit demandent 0,05 bitcoin en rançon, ce qui revient à 280 dollars au taux de change actuel.

…/…

Bad Rabbit : une nouvelle épidémie de ransomware progresse


MAJ 26/10/17

Selon Kaspersky Lab, l’attaque n’utilise pas d’exploits. Il s’agit d’une attaque drive-by :

  • les victimes téléchargent un faux installateur Adobe Flash de sites internet infectés et lancent manuellement le fichier .exe, ce qui les infecte.

Les chercheurs de Kaspersky Lab ont détecté un certain nombre de sites internet compromis ; ce sont tous des sites de médias ou d’information.

Nous ne savons pas encore s’il est possible de récupérer les fichiers chiffrés par Bad Rabbit (en payant la rançon ou en tirant parti d’un glitch dans le code du ransomware). Les experts en antivirus de Kaspersky Lab enquêtent sur cette attaque et nous mettrons à jour cet article avec leurs résultats.

Selon nos données, la plupart des victimes de ces attaques se trouvent en Russie. Nous avons aussi vu des attaques similaires mais moins nombreuses en Ukraine, en Turquie et en Allemagne. Ce ransomware a infecté des appareils à travers un certain nombre de sites internet piratés de médias russes. Selon notre enquête, il s’agit d’une attaque ciblée contre les réseaux d’entreprise en utilisant des méthodes similaires à celles utilisées dans l’attaque ExPetr. Cependant, nous pouvons confirmer que cela est lié à ExPetr. Nous continuons à enquêter. Pendant ce temps, vous pouvez trouver plus de détails sur cet article de Securelist.

Les produits de Kaspersky Lab ont détecté l’attaque avec les verdicts suivants : UDS:DangerousObject.Multi.Generic (détecté par Kaspersky Security Network) et PDM:Trojan.Win32.Generic (détecté par System Watcher).

Pour éviter d’être victime de Bad Rabbit :

Utilisateurs des produits Kaspersky Lab :

  • Assurez-vous que System Watcher et Kaspersky Security Network fonctionnent. Si ce n’est pas le cas, il est essentiel d’activer ces fonctionnalités.

Autres utilisateurs :

  • Bloquez l’exécution des fichiers c:\windows\infpub.dat et c:\Windows\cscc.dat.
  • Désactivez le service WMI (si cela est possible dans votre environnement) pour éviter que le malware ne se répande dans votre réseau.

Conseils pour tout le monde :

BULLETIN D’ALERTE DU CERT-FR > Campagne de #rançongiciel Bad Rabbit > CERTFR-2017-ALE-016 > #ransomware

RISQUE(S)

  • Installation du rançongiciel Bad Rabbit et chiffrement des données

SYSTÈMES AFFECTÉS

  • Tous les systèmes d’exploitations Windows peuvent être victimes de ce logiciel malveillant.

RÉSUMÉ

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d’Europe de l’Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés, Bad Rabbit n’exploite aucune vulnérabilité pour s’installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l’attaquant. De là, l’attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l’utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l’utilisateur devait alors manuellement lancer l’exécution de ce binaire. Ensuite, si l’utilisateur possédait les privilèges administrateurs, Bad Rabbit était installé et la machine considérée infectée.

Bad Rabbit utilise DiskCryptor, un logiciel en source ouverte, pour chiffrer les fichiers présents sur la machine, crée une tâche planifiée pour redémarrer le système et modifie le Master Boot Record (MBR) afin de pouvoir afficher la note de rançon au prochain démarrage. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la rançon payée.

Pour se propager dans le réseau interne, Bad Rabbit utilise le protocole SMB. Toutefois, il n’exploite aucune vulnérabilité. Il tente de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz. Il embarque également une liste de noms d’utilisateurs/mots de passe couramment utilisés. Le respect des bonnes pratiques, notamment le guide d’hygiène informatique de l’ANSSI (cf. section Documentation) permet de neutraliser ce vecteur d’infection.

A ce jour, le CERT-FR n’a pas connaissance de victimes françaises.

Lire la suite…


Kaspersky Lab > Bad Rabbit : une nouvelle épidémie de ransomware progresse

Cet article est mis à jour au fur et à mesure que nos experts trouvent de nouvelles données sur le malware.

Nous avons déjà vu deux grandes attaques de ransomwares à grande échelle cette année : le tristement célèbre WannaCry et ExPetr (également connu comme Petya et NotPetya). Il semblerait qu’une nouvelle attaque soit en cours : le nouveau malware s’appelle Bad Rabbit – c’est tout du moins le nom indiqué sur le site internet du darknet mentionné sur le message de rançon.

Ce que nous savons pour le moment, c’est que le ransomware Bad Rabbit a infecté plusieurs grands organes de presse russes dont l’agence d’information Interfax et Fontanka.ru. L’aéroport international d’Odessa a signalé une cyberattaque sur son système d’information, mais nous ne savons pas encore s’il s’agit de la même attaque.

Les criminels qui se cachent derrière Bad Rabbit demandent 0,05 bitcoin en rançon, ce qui revient à 280 dollars au taux de change actuel.

…/…

Bad Rabbit : une nouvelle épidémie de ransomware progresse


MAJ 26/10/17

Selon Kaspersky Lab, l’attaque n’utilise pas d’exploits. Il s’agit d’une attaque drive-by :

  • les victimes téléchargent un faux installateur Adobe Flash de sites internet infectés et lancent manuellement le fichier .exe, ce qui les infecte.

Les chercheurs de Kaspersky Lab ont détecté un certain nombre de sites internet compromis ; ce sont tous des sites de médias ou d’information.

Nous ne savons pas encore s’il est possible de récupérer les fichiers chiffrés par Bad Rabbit (en payant la rançon ou en tirant parti d’un glitch dans le code du ransomware). Les experts en antivirus de Kaspersky Lab enquêtent sur cette attaque et nous mettrons à jour cet article avec leurs résultats.

Selon nos données, la plupart des victimes de ces attaques se trouvent en Russie. Nous avons aussi vu des attaques similaires mais moins nombreuses en Ukraine, en Turquie et en Allemagne. Ce ransomware a infecté des appareils à travers un certain nombre de sites internet piratés de médias russes. Selon notre enquête, il s’agit d’une attaque ciblée contre les réseaux d’entreprise en utilisant des méthodes similaires à celles utilisées dans l’attaque ExPetr. Cependant, nous pouvons confirmer que cela est lié à ExPetr. Nous continuons à enquêter. Pendant ce temps, vous pouvez trouver plus de détails sur cet article de Securelist.

Les produits de Kaspersky Lab ont détecté l’attaque avec les verdicts suivants : UDS:DangerousObject.Multi.Generic (détecté par Kaspersky Security Network) et PDM:Trojan.Win32.Generic (détecté par System Watcher).

Pour éviter d’être victime de Bad Rabbit :

Utilisateurs des produits Kaspersky Lab :

  • Assurez-vous que System Watcher et Kaspersky Security Network fonctionnent. Si ce n’est pas le cas, il est essentiel d’activer ces fonctionnalités.

Autres utilisateurs :

  • Bloquez l’exécution des fichiers c:\windows\infpub.dat et c:\Windows\cscc.dat.
  • Désactivez le service WMI (si cela est possible dans votre environnement) pour éviter que le malware ne se répande dans votre réseau.

Conseils pour tout le monde :

BULLETIN D’ALERTE DU CERT-FR > Campagne de #rançongiciel Bad Rabbit > CERTFR-2017-ALE-016 > #ransomware

RISQUE(S)

  • Installation du rançongiciel Bad Rabbit et chiffrement des données

SYSTÈMES AFFECTÉS

  • Tous les systèmes d’exploitations Windows peuvent être victimes de ce logiciel malveillant.

RÉSUMÉ

Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d’Europe de l’Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés, Bad Rabbit n’exploite aucune vulnérabilité pour s’installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l’attaquant. De là, l’attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l’utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l’utilisateur devait alors manuellement lancer l’exécution de ce binaire. Ensuite, si l’utilisateur possédait les privilèges administrateurs, Bad Rabbit était installé et la machine considérée infectée.

Bad Rabbit utilise DiskCryptor, un logiciel en source ouverte, pour chiffrer les fichiers présents sur la machine, crée une tâche planifiée pour redémarrer le système et modifie le Master Boot Record (MBR) afin de pouvoir afficher la note de rançon au prochain démarrage. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la rançon payée.

Pour se propager dans le réseau interne, Bad Rabbit utilise le protocole SMB. Toutefois, il n’exploite aucune vulnérabilité. Il tente de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz. Il embarque également une liste de noms d’utilisateurs/mots de passe couramment utilisés. Le respect des bonnes pratiques, notamment le guide d’hygiène informatique de l’ANSSI (cf. section Documentation) permet de neutraliser ce vecteur d’infection.

A ce jour, le CERT-FR n’a pas connaissance de victimes françaises.

Lire la suite…


Kaspersky Lab > Bad Rabbit : une nouvelle épidémie de ransomware progresse

Cet article est mis à jour au fur et à mesure que nos experts trouvent de nouvelles données sur le malware.

Nous avons déjà vu deux grandes attaques de ransomwares à grande échelle cette année : le tristement célèbre WannaCry et ExPetr (également connu comme Petya et NotPetya). Il semblerait qu’une nouvelle attaque soit en cours : le nouveau malware s’appelle Bad Rabbit – c’est tout du moins le nom indiqué sur le site internet du darknet mentionné sur le message de rançon.

Ce que nous savons pour le moment, c’est que le ransomware Bad Rabbit a infecté plusieurs grands organes de presse russes dont l’agence d’information Interfax et Fontanka.ru. L’aéroport international d’Odessa a signalé une cyberattaque sur son système d’information, mais nous ne savons pas encore s’il s’agit de la même attaque.

Les criminels qui se cachent derrière Bad Rabbit demandent 0,05 bitcoin en rançon, ce qui revient à 280 dollars au taux de change actuel.

…/…

Bad Rabbit : une nouvelle épidémie de ransomware progresse


MAJ 26/10/17

Selon Kaspersky Lab, l’attaque n’utilise pas d’exploits. Il s’agit d’une attaque drive-by :

  • les victimes téléchargent un faux installateur Adobe Flash de sites internet infectés et lancent manuellement le fichier .exe, ce qui les infecte.

Les chercheurs de Kaspersky Lab ont détecté un certain nombre de sites internet compromis ; ce sont tous des sites de médias ou d’information.

Nous ne savons pas encore s’il est possible de récupérer les fichiers chiffrés par Bad Rabbit (en payant la rançon ou en tirant parti d’un glitch dans le code du ransomware). Les experts en antivirus de Kaspersky Lab enquêtent sur cette attaque et nous mettrons à jour cet article avec leurs résultats.

Selon nos données, la plupart des victimes de ces attaques se trouvent en Russie. Nous avons aussi vu des attaques similaires mais moins nombreuses en Ukraine, en Turquie et en Allemagne. Ce ransomware a infecté des appareils à travers un certain nombre de sites internet piratés de médias russes. Selon notre enquête, il s’agit d’une attaque ciblée contre les réseaux d’entreprise en utilisant des méthodes similaires à celles utilisées dans l’attaque ExPetr. Cependant, nous pouvons confirmer que cela est lié à ExPetr. Nous continuons à enquêter. Pendant ce temps, vous pouvez trouver plus de détails sur cet article de Securelist.

Les produits de Kaspersky Lab ont détecté l’attaque avec les verdicts suivants : UDS:DangerousObject.Multi.Generic (détecté par Kaspersky Security Network) et PDM:Trojan.Win32.Generic (détecté par System Watcher).

Pour éviter d’être victime de Bad Rabbit :

Utilisateurs des produits Kaspersky Lab :

  • Assurez-vous que System Watcher et Kaspersky Security Network fonctionnent. Si ce n’est pas le cas, il est essentiel d’activer ces fonctionnalités.

Autres utilisateurs :

  • Bloquez l’exécution des fichiers c:\windows\infpub.dat et c:\Windows\cscc.dat.
  • Désactivez le service WMI (si cela est possible dans votre environnement) pour éviter que le malware ne se répande dans votre réseau.

Conseils pour tout le monde :

%d blogueurs aiment cette page :