Une nouvelle épidémie de ransomware vient de frapper d’importantes entreprises de transport et certaines organisations gouvernementales. Les systèmes informatiques du métro de Kiev, l’aéroport d’Odessa et d’autres organisations sont touchés.
Les utilisateurs ESET® sont protégés contre cette menace (détectée par ESET comme Win32 / Diskoder.D). Dans le cas du métro de Kiev, ESET a découvert que le malware utilisé est Diskcoder.D (nommé également BadRabbit), une nouvelle variante de ransomware connue aussi sous le nom de Petya. La version précédente de Diskcoder a été utilisée dans la cyberattaque mondiale de juin 2017, nommée par les experts « NotPetya ».
ESET a détecté des centaines d'occurrences de BadRabbit. La plupart se trouvent en Russie (65 %) et en Ukraine (12,2 %). D’autres pays sont également concernés, tels que la Bulgarie (10,2 %), la Turquie (6,4 %) ou encore le Japon (3,8 %).
Toutes les grandes entreprises victimes de ce malware furent touchées en même temps. Il est possible que le groupe se soit introduit dans les réseaux des victimes avant l'attaque et que l’utilisation des sites compromis soit un leurre.
ESET continue d'enquêter et publiera sa découverte au fur et à mesure sur WeLiveSecurity. Nous restons à votre disposition pour tout complément d’information.
Vous trouverez ci-dessous des informations complémentaires sur le mode opératoire de cette menace.
Selon ESET, BadRabbit utilise l'outil Mimikatz pour voler les identifiants de la victime et se propager dans le réseau. L’une des méthodes de distribution de BadRabbit est le téléchargement forcé, « drive-by » en anglais. Les sites Internet compromis contiennent un code JavaScript malveillant dans les pages ou fichiers .js. Lorsque le code est activé, une fenêtre invite l’utilisateur à télécharger une mise à jour Flash Player®. Si la victime l’installe, le téléchargement d’un fichier exécutable se lance : l’ordinateur est alors verrouillé et affiche la demande de rançon.
BadRabbit se propage via le protocole SMB mais n'utilise pas la vulnérabilité EternalBlue comme ce fut le cas pour NotPetya. Puis il analyse le réseau à la recherche de partages ; enfin, Mimikatz est lancé sur l'ordinateur compromis pour récupérer les informations d'identification.
BadRabbit est une version modifiée de Win32 / Diskcoder.C (NotPetya). Des bogues dans le module de chiffrement des fichiers ont été corrigés, il utilise maintenant DiskCryptor, un logiciel open source utilisé pour le chiffrement complet de disques. Les clés sont générées à l'aide de CryptGenRandom, puis protégées par une clé publique RSA 2048 codée en dur.
CONTACT PRESSE
Lucie FONTAINE
Chargée des Relations Presse
Téléphone : 01 55 89 09 60
À propos d'ESET
Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine et classé 5e éditeur mondial dans le dernier rapport du Gartner Group. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. ESET Nod32, ESET Smart Security et ESET Cybersecurity pour Mac sont reconnus et appréciés par des millions d’utilisateurs dans le monde. ESET a déjà reçu plusieurs distinctions en Allemagne notamment. Fin 2015, ESET Endpoint Security a été choisi par les lecteurs de Vogel IT Media comme le meilleur antivirus sur le marché allemand. De nombreuses autres récompenses ont distingué les solutions ESET : ESET Mobile avec Stiftung Warentest en février 2016, Prix CRN…
