Le virus ransomware Bad Rabbit, qui a été attaqué la veille par les médias russes, a également tenté d'attaquer les banques russes du top 20, a déclaré à Forbes le groupe IB, qui enquête et prévient la cybercriminalité. Un représentant de l'entreprise a refusé de clarifier les détails des attaques contre les établissements de crédit, expliquant que le Groupe-IB ne divulgue pas d'informations sur les clients utilisant son système de détection d'intrusion.

Selon les experts en cybersécurité, des tentatives visant à infecter les infrastructures des banques russes avec un virus ont eu lieu le 24 octobre de 13h00 à 15h00, heure de Moscou. Group-IB estime que les cyberattaques ont démontré une meilleure protection pour les banques par rapport aux entreprises du secteur non bancaire. Plus tôt, la société a signalé qu'un nouveau virus ransomware, probablement lié à l'épidémie du ransomware NotPetya en juin (ce qui est indiqué par des coïncidences dans le code), avait attaqué les médias russes. Nous parlions des systèmes d'information de l'agence Interfax, ainsi que des serveurs du portail d'information de Saint-Pétersbourg Fontanka. En outre, le virus a touché les systèmes du métro de Kiev, le ministère de l'Infrastructure de l'Ukraine et l'aéroport international d'Odessa. NotPetya a frappé les sociétés du secteur de l'énergie, des télécommunications et de la finance, principalement en Ukraine, au cours de l'été. Pour décrypter les fichiers infectés par le virus BadRabbit, les attaquants exigent 0,05 bitcoin, ce qui, au taux de change actuel, équivaut approximativement à 283 dollars ou 15 700 roubles.

Kaspersky Lab a précisé que cette fois, les pirates avaient choisi la plupart des victimes en Russie. Cependant, la société a enregistré des attaques similaires en Ukraine, en Turquie et en Allemagne, mais « en nombre nettement inférieur ». « Tous les signes indiquent qu’il s’agit d’une attaque ciblée contre les réseaux d’entreprise. Des méthodes similaires à celles que nous avons observées lors de l’attaque ExPetr sont utilisées, mais nous ne pouvons pas confirmer le lien avec ExPetr », a déclaré un représentant de l’entreprise. La source Forbes a ajouté que tous les produits Kaspersky Lab « détectent ces fichiers malveillants sous le nom UDS:DangerousObject.Multi.Generic ».

Comment se protéger ?

Afin de se protéger contre cette attaque, Kaspersky Lab a recommandé d'utiliser un antivirus avec KSN activé et le module de surveillance du système. « Si aucune solution de sécurité de Kaspersky Lab n'est installée, nous recommandons de bloquer l'exécution des fichiers nommés c:\windows\infpub.dat et C:\Windows\cscc.dat à l'aide des outils d'administration système », a conseillé le responsable de l'antivirus. département de recherche du Laboratoire Kaspersky" Vyacheslav Zakorzhevsky.

Group-IB note que pour empêcher le virus de chiffrer les fichiers, « vous devez créer le fichier C:\windows\infpub.dat et lui accorder des droits de lecture seule ». Après cela, même s’ils sont infectés, les fichiers ne seront pas cryptés, a indiqué la société. Dans le même temps, il est nécessaire d'isoler rapidement les ordinateurs détectés en train d'envoyer de tels fichiers malveillants afin d'éviter une infection à grande échelle d'autres ordinateurs connectés au réseau. Après cela, les utilisateurs doivent s'assurer que les copies de sauvegarde des nœuds clés du réseau sont à jour et intactes.

Une fois les premières étapes terminées, il est conseillé à l'utilisateur de mettre à jour les systèmes d'exploitation et les systèmes de sécurité, tout en bloquant simultanément les adresses IP et les noms de domaine à partir desquels les fichiers malveillants ont été distribués. Group-IB recommande de remplacer tous les mots de passe par des mots de passe plus complexes et de bloquer les fenêtres contextuelles, ainsi que d'interdire le stockage des mots de passe en texte clair dans LSA Dump.

Qui est derrière l’attaque BadRabbit

En 2017, deux épidémies majeures de ransomwares ont déjà été enregistrées : WannaCry (qui a attaqué 200 000 ordinateurs dans 150 pays) et ExPetr. Ce dernier est Petya et en même temps NotPetya, note Kaspersky Lab. Aujourd’hui, selon l’entreprise, « la troisième commence ». Le nom du nouveau virus ransomware Bad Rabbit « est écrit sur une page du darknet, à laquelle ses créateurs envoient pour clarifier les détails », précise la société. Group-IB estime que Bad Rabbit est une version modifiée de NotPetya avec des erreurs dans l'algorithme de cryptage corrigées. En particulier, le code de Bad Rabbit comprend des blocs totalement identiques à NotPetya.

ESET Russie reconnaît que le logiciel malveillant utilisé dans l'attaque, « Win32/Diskcoder.D », est une version modifiée de « Win32/Diskcoder.C », mieux connu sous le nom de Petya/NotPetya. Comme l'explique Vitaly Zemskikh, responsable du support commercial chez ESET Russie, dans une interview avec Forbes, les statistiques d'attaques par pays « correspondent largement à la répartition géographique des sites contenant du JavaScript malveillant ». Ainsi, la majorité des infections ont eu lieu en Russie (65 %), suivie par l'Ukraine (12,2 %), la Bulgarie (10,2 %), la Turquie (6,4 %) et le Japon (3,8 %).

L'infection par le virus Bad Rabbit s'est produite après avoir visité des sites piratés. Les pirates ont chargé les ressources compromises avec une injection JavaScript dans le code HTML, qui a montré aux visiteurs une fausse fenêtre les invitant à installer une mise à jour du lecteur Adobe Flash. Si l'utilisateur acceptait la mise à jour, un fichier malveillant nommé « install_flash_player.exe » était installé sur l'ordinateur. « Après avoir infecté un poste de travail dans une organisation, le chiffreur peut se propager au sein du réseau de l'entreprise via le protocole SMB. Contrairement à son prédécesseur Petya/NotPetya, Bad Rabbit n'utilise pas l'exploit EthernalBlue, mais analyse le réseau à la recherche de ressources réseau ouvertes », explique Zemskikh. Ensuite, l'outil Mimikatz est lancé sur la machine infectée pour collecter les informations d'identification. De plus, il existe une liste codée en dur de identifiants et de mots de passe.

Il n'y a pas encore d'informations sur l'organisateur des attaques de pirates informatiques. Dans le même temps, selon Group-IB, des attaques massives similaires, WannaCry et NotPetya, pourraient être associées à des groupes de hackers financés par les États. Les experts tirent cette conclusion en partant du principe que les bénéfices financiers de telles attaques sont « négligeables » par rapport à la complexité de leur mise en œuvre. "Très probablement, il ne s'agissait pas de tentatives pour gagner de l'argent, mais pour tester le niveau de protection des réseaux d'infrastructures critiques des entreprises, des agences gouvernementales et des entreprises privées", concluent les experts. Un représentant du Groupe-IB a confirmé à Forbes que le dernier virus - Bad Rabbit - pourrait s'avérer être un test pour la protection des infrastructures des ministères et des entreprises. «Oui, ce n'est pas exclu. Considérant que les attaques ont été menées de manière ciblée - sur des infrastructures critiques - l'aéroport, le métro, les agences gouvernementales", explique l'interlocuteur de Forbes.

Répondant à la question sur les responsables de la dernière attaque, ESET Russie souligne qu'en utilisant uniquement les outils d'une société antivirus, il est impossible de mener une enquête de haute qualité et d'identifier les personnes impliquées ; c'est la tâche de spécialistes d'un profil différent ; « En tant que société antivirus, nous identifions les méthodes et les cibles des attaques, les outils malveillants des attaquants, les vulnérabilités et les exploits. Trouver les coupables, leurs motivations, leur nationalité, etc. ne relève pas de notre responsabilité», a déclaré un représentant de l'entreprise, promettant de tirer des conclusions sur la nomination de Bad Rabbit sur la base des résultats de l'enquête. "Malheureusement, dans un avenir proche, nous verrons de nombreux incidents similaires - le vecteur et le scénario de cette attaque ont fait preuve d'une grande efficacité", prédit ESET Russie. L'interlocuteur de Forbes rappelle que pour 2017, l'entreprise prévoyait une augmentation du nombre d'attaques ciblées contre le secteur des entreprises, principalement contre les organisations financières (de plus de 50 %, selon les estimations préliminaires). "Ces prédictions se réalisent désormais, nous constatons une augmentation du nombre d'attaques couplée à une augmentation des dommages causés aux entreprises concernées", reconnaît-il.

La fin du mois d'octobre de cette année a été marquée par l'émergence d'un nouveau virus qui a activement attaqué les ordinateurs des utilisateurs professionnels et particuliers. Le nouveau virus est un chiffreur et s'appelle Bad Rabbit, ce qui signifie mauvais lapin. Ce virus a été utilisé pour attaquer les sites Internet de plusieurs médias russes. Plus tard, le virus a été découvert dans les réseaux d'information des entreprises ukrainiennes. Là, les réseaux d'information du métro, de divers ministères, des aéroports internationaux, etc. ont été attaqués. Un peu plus tard, une attaque virale similaire a été observée en Allemagne et en Turquie, même si son activité était nettement inférieure à celle de l'Ukraine et de la Russie.

Un virus malveillant est un plugin spécial qui, une fois atteint un ordinateur, crypte ses fichiers. Une fois les informations chiffrées, les attaquants tentent d’obtenir des récompenses des utilisateurs pour avoir déchiffré leurs données.

Propagation du virus

Les spécialistes du laboratoire de développement de logiciels antivirus ESET ont analysé l’algorithme de propagation du virus et sont arrivés à la conclusion qu’il s’agissait d’un virus modifié qui se propageait il n’y a pas si longtemps, comme le virus Petya.

Les spécialistes du laboratoire ESET ont déterminé que les plugins malveillants étaient distribués à partir de la ressource 1dnscontrol.com et de l'adresse IP IP5.61.37.209. Plusieurs autres ressources sont également associées à ce domaine et à cette IP, notamment secure-check.host, webcheck01.net, secureinbox.email, webdefense1.net, secure-dns1.net, firewebmail.com.

Les experts ont enquêté sur le fait que les propriétaires de ces sites ont enregistré de nombreuses ressources différentes, par exemple celles par lesquelles ils tentent de vendre des médicaments contrefaits en utilisant des courriers indésirables. Les spécialistes d'ESET n'excluent pas que ce soit à l'aide de ces ressources, utilisant le spam et le phishing, que la principale cyberattaque ait été menée.

Comment se produit l’infection par le virus Bad Rabbit ?

Les spécialistes du Computer Forensics Laboratory ont mené une enquête sur la façon dont le virus s’est introduit dans les ordinateurs des utilisateurs. Il a été découvert que dans la plupart des cas, le virus ransomware Bad Rabbit était distribué sous forme de mise à jour d'Adobe Flash. Autrement dit, le virus n'a exploité aucune vulnérabilité du système d'exploitation, mais a été installé par les utilisateurs eux-mêmes, qui, sans le savoir, ont approuvé son installation, pensant qu'ils mettaient à jour le plugin Adobe Flash. Lorsque le virus est entré dans le réseau local, il a volé les identifiants et les mots de passe de la mémoire et s'est propagé indépendamment à d'autres systèmes informatiques.

Comment les pirates informatiques extorquent de l'argent

Une fois le virus ransomware installé sur l’ordinateur, il crypte les informations stockées. Ensuite, les utilisateurs reçoivent un message indiquant que pour accéder à leurs données, ils doivent effectuer un paiement sur un site spécifié du darknet. Pour ce faire, vous devez d'abord installer un navigateur Tor spécial. Afin de déverrouiller l'ordinateur, les attaquants extorquent un paiement d'un montant de 0,05 bitcoin. Aujourd'hui, au prix de 5 600 $ pour 1 Bitcoin, cela représente environ 280 $ pour débloquer un ordinateur. L'utilisateur dispose d'un délai de 48 heures pour effectuer son paiement. Passé ce délai, si le montant requis n’a pas été transféré sur le compte électronique de l’attaquant, le montant augmente.

Comment se protéger du virus

1. Pour vous protéger contre l'infection par le virus Bad Rabbit, vous devez bloquer l'accès de l'environnement d'information aux domaines ci-dessus.
2. Pour les utilisateurs à domicile, vous devez mettre à jour la version actuelle de Windows et votre programme antivirus. Dans ce cas, le fichier malveillant sera détecté comme un virus ransomware, ce qui exclura la possibilité de son installation sur l'ordinateur.
3. Les utilisateurs qui utilisent l'antivirus intégré au système d'exploitation Windows bénéficient déjà d'une protection contre ces ransomwares. Il est implémenté dans l'application Windows Defender Antivirus.
4. Les développeurs du programme antivirus de Kaspersky Lab conseillent à tous les utilisateurs de sauvegarder périodiquement leurs données. De plus, les experts recommandent de bloquer l'exécution des fichiers c:\windows\infpub.dat, c:\WINDOWS\cscc.dat et, si possible, d'interdire l'utilisation du service WMI.

Conclusion

Chaque utilisateur d'ordinateur doit se rappeler que la cybersécurité doit primer lorsqu'il travaille sur le réseau. Par conséquent, vous devez toujours vous assurer que vous utilisez uniquement des ressources d’information fiables et que vous utilisez le courrier électronique et les réseaux sociaux avec prudence. C'est grâce à ces ressources que divers virus se propagent le plus souvent. Les règles de conduite de base dans l'environnement de l'information aideront à éliminer les problèmes qui surviennent lors d'une attaque de virus.

Salut tout le monde! L'autre jour, une attaque informatique à grande échelle a commencé en Russie, en Ukraine, en Turquie, en Allemagne et en Bulgarie, utilisant le nouveau virus de cryptage Bad Rabbit, également connu sous le nom de Diskcoder.D. Le ransomware attaque actuellement les réseaux d'entreprise des grandes et moyennes organisations, bloquant tous les réseaux. Aujourd'hui, nous allons vous expliquer ce qu'est ce cheval de Troie et comment vous pouvez vous en protéger.

Quel genre de virus ?

Bad Rabbit fonctionne selon un schéma standard pour les ransomwares : une fois entré dans le système, il encode des fichiers, pour le décryptage desquels les pirates exigent 0,05 bitcoin, ce qui, au taux de change, est de 283 dollars (ou 15 700 roubles). Ceci est signalé dans une fenêtre séparée, où vous devez réellement saisir la clé achetée. La menace est un type de cheval de Troie Cheval de Troie.Win32.Generic, mais il contient également d'autres composants, tels que DangerousObject.Multi.Generic Et Rançon.Win 32.Gen.ftl.

Bad Rabbit – un nouveau virus ransomware

Il est encore difficile de retracer complètement toutes les sources d’infection, mais les experts y travaillent désormais. Vraisemblablement, la menace atteint le PC via des sites infectés sur lesquels la redirection est configurée, ou sous le couvert de fausses mises à jour de plugins populaires tels qu'Adobe Flash. La liste de ces sites ne fait que s'allonger.

Est-il possible de supprimer un virus et comment s'en protéger ?

Il convient de mentionner d’emblée qu’à l’heure actuelle, tous les laboratoires antivirus ont commencé à analyser ce cheval de Troie. Si vous recherchez spécifiquement des informations sur la suppression des virus, il n’y en a aucune en tant que telle. Laissons immédiatement de côté le conseil standard : faire une sauvegarde du système, un point de retour, supprimer tel ou tel fichier. Si vous n'avez pas de sauvegarde, alors tout le reste ne fonctionne pas ; les pirates, en raison des spécifications du virus, ont réfléchi à de tels moments.

Je pense que des décrypteurs pour Bad Rabbit réalisés par des amateurs seront bientôt distribués - que vous utilisiez ou non ces programmes, c'est votre propre choix. Comme l’a montré le précédent ransomware Petya, cela n’aide pas beaucoup.

Mais vous pouvez prévenir la menace et la supprimer lorsque vous essayez d’accéder à votre PC. Les laboratoires Kaspersky et ESET ont été les premiers à réagir aux informations faisant état d'une épidémie virale et bloquent déjà les tentatives d'intrusion. Le navigateur Google Chrome a également commencé à détecter les ressources infectées et à avertir de leur danger. Voici ce que vous devez faire pour vous protéger en premier de BadRabbit :

1. Si vous utilisez Kaspersky, ESET, Dr.Web ou d'autres analogues populaires pour la protection, vous devez alors mettre à jour les bases de données. De plus, pour Kaspersky, vous devez activer « Activity Monitor » (System Watcher) et dans ESET appliquer les signatures avec la mise à jour 16295.

   

2. Si vous n'utilisez pas d'antivirus, vous devez bloquer l'exécution des fichiers C:\Windows\infpub.dat Et C:\Windows\cscc.dat. Cela se fait via l'éditeur de stratégie de groupe ou le programme AppLocker pour Windows.

Il est conseillé de désactiver l'exécution du service - Instrumentation de gestion Windows (WMI). Dans le top dix, le service s'appelle « Instrumentation de gestion Windows ». À l'aide du bouton droit, entrez les propriétés du service et sélectionnez « Type de démarrage » mode "Désactivé".



3. Assurez-vous de sauvegarder votre système. En théorie, une copie doit toujours être stockée sur le support connecté. Voici une courte instruction vidéo sur la façon de le créer.

Conclusion

En conclusion, il convient de dire la chose la plus importante : vous ne devez pas payer de rançon, peu importe ce que vous avez crypté. De telles actions ne font qu’encourager les fraudeurs à créer de nouvelles attaques virales. Surveillez les forums des sociétés antivirus qui, je l'espère, étudieront bientôt le virus Bad Rabbit et trouveront une pilule efficace. Assurez-vous de suivre les étapes ci-dessus pour protéger votre système d'exploitation. Si vous rencontrez des difficultés pour les compléter, veuillez l'écrire dans les commentaires.

Le virus ransomware, connu sous le nom de Bad Rabbit, a attaqué des dizaines de milliers d’ordinateurs en Ukraine, en Turquie et en Allemagne. Mais la plupart des attaques ont eu lieu en Russie. De quel type de virus s'agit-il et comment protéger votre ordinateur, nous vous l'expliquons dans notre section Questions et réponses.

Qui a souffert du Bad Rabbit en Russie ?

Le virus ransomware Bad Rabbit a commencé à se propager le 24 octobre. Parmi les victimes de ses actes figurent l'agence de presse Interfax et la publication Fontanka.ru.

Le métro de Kyiv et l'aéroport d'Odessa ont également souffert des attaques des pirates informatiques. Ensuite, on a appris une tentative de piratage des systèmes de plusieurs banques russes du top 20.

Tout porte à croire qu'il s'agit d'une attaque ciblée sur les réseaux d'entreprise, car elle utilise des méthodes similaires à celles observées lors de l'attaque du virus ExPetr.

Le nouveau virus impose une seule exigence à tout le monde : une rançon de 0,05 Bitcoin. En roubles, cela représente environ 16 000 roubles. Cependant, il signale que le temps nécessaire pour remplir cette exigence est limité. Un peu plus de 40 heures sont accordées pour tout. De plus, les frais de rachat augmenteront.

Qu'est-ce que ce virus et comment fonctionne-t-il ?

Avez-vous déjà découvert qui est à l’origine de sa propagation ?

Il n’a pas encore été possible de savoir qui est à l’origine de cette attaque. L'enquête a uniquement conduit les programmeurs au nom de domaine.

Les experts des sociétés antivirus notent la similitude du nouveau virus avec le virus Petya.

Mais contrairement aux virus précédents de cette année, les pirates ont cette fois décidé d'emprunter la voie la plus simple, rapporte 1tv.ru.

"Apparemment, les criminels s'attendaient à ce que, dans la plupart des entreprises, les utilisateurs mettent à jour leurs ordinateurs après ces deux attaques et ont décidé d'essayer un moyen relativement peu coûteux - l'ingénierie sociale - afin d'infecter les utilisateurs relativement discrètement au début", a déclaré le chef de l'anti- département de recherche sur les virus de Kaspersky Lab.

Comment protéger son ordinateur contre un virus ?

Assurez-vous de sauvegarder votre système. Si vous utilisez Kaspersky, ESET, Dr.Web ou d'autres analogues populaires pour vous protéger, vous devez rapidement mettre à jour les bases de données. De plus, pour Kaspersky, vous devez activer la « Surveillance d'activité » (System Watcher), et dans ESET, vous devez appliquer des signatures avec la mise à jour 16295, informe talkdevice.

Si vous ne disposez pas de programmes antivirus, bloquez l'exécution des fichiers C:\Windows\infpub.dat et C:\Windows\cscc.dat. Cela se fait via l'éditeur de stratégie de groupe ou le programme AppLocker pour Windows.

Arrêtez l'exécution du service - Windows Management Instrumentation (WMI). A l'aide du bouton droit, entrez les propriétés du service et sélectionnez le mode « Désactivé » dans « Type de démarrage ».