{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Tous les syst\u00e8mes d'exploitations Windows peuvent \u00eatre victimes de ce logiciel malveillant.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2017-10-27","content":"\n","cves":[],"links":[{"title":"Billet de blogue RiskIq","url":"https://www.riskiq.com/blog/labs/badrabbit/"},{"title":"Billet de blogue Talos","url":"https://blog.talosintelligence.com/2017/10/bad-rabbit.html"},{"title":"Billet de blogue FireEye","url":"https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS17-10","url":"https://technet.microsoft.com/fr-fr/library/security/MS17-010"},{"title":"Annonce de Microsoft suite \u00e0 la diffusion de codes d'attaques par le groupe Shadowbrokers","url":"https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/"},{"title":"Bonnes pratiques","url":"https://www.ssi.gouv.fr/administration/bonnes-pratiques/"},{"title":"Billet de blogue EndGame","url":"https://www.endgame.com/blog/technical-blog/badrabbit-technical-analysis"},{"title":"Billet de blogue Kaspersky","url":"https://securelist.com/bad-rabbit-ransomware/82851/"},{"title":"Billet de blogue ESET","url":"https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/"}],"reference":"CERTFR-2017-ALE-016","revisions":[{"description":"Version initiale","revision_date":"2017-10-25T00:00:00.000000"},{"description":"Ajout d'\u00e9l\u00e9ments techniques","revision_date":"2017-10-27T00:00:00.000000"}],"risks":[{"description":"Installation du ran\u00e7ongiciel bad rabbit et chiffrement des donn\u00e9es"}],"summary":"Le 24 octobre 2017, le CERT-FR a constat\u00e9 une vague de distribution de\nran\u00e7ongiciel, *Bad Rabbit*, principalement localis\u00e9e en Russie et dans\ndes pays d'Europe de l'Est.\n\n*Bad Rabbit* partage des portions de code avec *Petya* et *NotPetya*.\nPour rappel, *NotPetya* a infect\u00e9 de nombreuses machines en juin 2017.\n\nCependant, dans les cas constat\u00e9s d'infection initiale,\u00a0*Bad Rabbit*\nn'exploite aucune vuln\u00e9rabilit\u00e9 pour s'installer. Des sites l\u00e9gitimes\ncompromis ont servi un script javascript redirigeant les utilisateurs\nvers un serveur contr\u00f4l\u00e9 par l'attaquant. De l\u00e0, l'attaquant a incit\u00e9\nles utilisateurs \u00e0 installer le maliciel en se faisant passer pour une\nmise \u00e0 jour Adobe Flash Player. Si l'utilisateur a explicitement\naccept\u00e9, le fichier\u00a0*install_flash_player.exe* \u00e9tait t\u00e9l\u00e9charg\u00e9. Dans\nles cas observ\u00e9s, l'utilisateur devait alors manuellement lancer\nl'ex\u00e9cution de ce binaire. Ensuite, si l'utilisateur poss\u00e9dait les\nprivil\u00e8ges administrateurs, la machine \u00e9tait consid\u00e9r\u00e9e infect\u00e9e.\n\n*Install_flash_player.exe* d\u00e9pose sur le disque\n*C:\\\\Windows\\\\infpub.dat* et l'ex\u00e9cute par le biais de\u00a0*rundll32.exe*\navec les arguments \\#1 et 15. \\#1 est l'ordinale de la table d'export\nservant de point d'entr\u00e9e et 15 le nombre de minutes avant de lancer la\nproc\u00e9dure de chiffrement du disque.\u00a0 *Infpub.dat* cr\u00e9e deux t\u00e2ches\nplanifi\u00e9es. La premi\u00e8re est charg\u00e9e de lancer *discpci.exe*, dont le\nr\u00f4le est de modifier le\u00a0*Master Boot Record* (MBR), afin de pouvoir\nafficher la note de ran\u00e7on au prochain d\u00e9marrage. *Discpci.exe*\ncommunique aussi avec le pilote de\u00a0*DiskCryptor (*ici*\u00a0cscc.dat*), un\nlogiciel de chiffrement disponible\u00a0en source ouverte. La deuxi\u00e8me t\u00e2che\nplanifi\u00e9e sert \u00e0 red\u00e9marrer le syst\u00e8me et effacer certains \u00e9v\u00e9nements\ndes journaux. Apr\u00e8s au plus dix-huit minutes (15 plus 3) , la proc\u00e9dure\nde chiffrement des fichiers avec des extensions choisies se\nlance.\u00a0Contrairement \u00e0 *NotPetya*, il semblerait techniquement possible\nde pouvoir d\u00e9chiffrer les fichiers une fois la cl\u00e9 AES r\u00e9cup\u00e9r\u00e9e.\u00a0*Bad\nRabbit* tente \u00e9galement de r\u00e9cup\u00e9rer des mots de passe administrateurs\nen m\u00e9moire avec une variante de *Mimikatz.*\n\nPour se propager dans le r\u00e9seau interne, *Bad Rabbit*\u00a0envoie des\nrequ\u00eates ARP et se fie aux r\u00e9ponses afin de se construire une liste des\nh\u00f4tes pr\u00e9sents. Pour chacune de ces adresses, des tentatives de\nconnexion sont effectu\u00e9es par le biais de requ\u00eates SMB en testant une\nliste de noms d'utilisateurs/mots de passe couramment utilis\u00e9s. Si ces\ntentatives \u00e9chouent, *Bad Rabbit* cherche \u00e0 exploiter la vuln\u00e9rabilit\u00e9\n*EternalRomance*, corrig\u00e9e au mois de mars 2017 par Microsoft (cf.\nsection Documentation).\n\n*Bad Rabbit* et *NotPetya* poss\u00e8dent des similitudes au niveau du code\nainsi qu'au niveau de l'infrastructure de livraison. Toutefois, une\ndiff\u00e9rence fondamentale peut expliquer la diff\u00e9rence d'impact.\n*NotPetya* \u00e9tait inject\u00e9 dans le r\u00e9seau interne par le biais d'une mise\n\u00e0 jour d'un logiciel dit de confiance. A l'inverse, *Bad Rabbit*\nrequiert une action utilisateur, sinon rien ne se passe. Au niveau de la\nlat\u00e9ralisation, *Bad Rabbit* est \u00e9galement moins virulent.\n\nLe respect des bonnes pratiques, notamment le guide d'hygi\u00e8ne\ninformatique de l'ANSSI (cf. section Documentation) permet de\nneutraliser ces vecteurs d'infection.\n\nA ce jour, le CERT-FR n'a pas connaissance de victimes fran\u00e7aises.\n\nListe de sites l\u00e9gitimes compromis :\n\n-   hxxp://argumentiru\\[.\\]com\n-   hxxp://www.fontanka\\[.\\]ru\n-   hxxp://grupovo\\[.\\]bg\n-   hxxp://www.sinematurk\\[.\\]com\n-   hxxp://www.aica.co\\[.\\]jp\n-   hxxp://spbvoditel\\[.\\]ru\n-   hxxp://argumenti\\[.\\]ru\n-   hxxp://www.mediaport\\[.\\]ua\n-   hxxp://blog.fontanka\\[.\\]ru\n-   hxxp://an-crimea\\[.\\]ru\n-   hxxp://www.t.ks\\[.\\]ua\n-   hxxp://most-dnepr\\[.\\]info\n-   hxxp://osvitaportal.com\\[.\\]ua\n-   hxxp://www.otbrana\\[.\\]com\n-   hxxp://calendar.fontanka\\[.\\]ru\n-   hxxp://www.grupovo\\[.\\]bg\n-   hxxp://www.pensionhotel\\[.\\]cz\n-   hxxp://www.online812\\[.\\]ru\n-   hxxp://www.imer\\[.\\]ro\n-   hxxp://novayagazeta.spb\\[.\\]ru\n-   hxxp://i24.com\\[.\\]ua\n-   hxxp://bg.pensionhotel\\[.\\]com\n-   hxxp://ankerch-crimea\\[.\\]ru\n\nServeur de livraison de charge :\n\n-   hxxp://1dnscontrol\\[.\\]com/flash_install.php_BAD.\n-   hxxp://1dnscontrol\\[.\\]com/index.php_BAD.\n\nFichiers malveillants:\n\n-   fbbdc39af1139aebba4da004475e8839 \u2013 install_flash_player.exe\n-   1d724f95c61f1055f0d02c2154bbccd3 \u2013 C:\\\\Windows\\\\infpub.dat\n-   b14d8faf7f0cbcfad051cefe5f39645f \u2013 C:\\\\Windows\\\\dispci.exe\n","title":"Campagne de ran\u00e7ongiciel Bad Rabbit","vendor_advisories":[]}