Visitez notre kiosque à CANSEC les 27-28 mai
En octobre 2017, le ransomware Bad Rabbit a déferlé sur l'Ukraine et la Russie, endommageant de nombreuses infrastructures. L'analyse technique de StreamScan révèle une vérité surprenante qui contredit les experts.
Le mythe EternalBlue démenti
Contrairement aux affirmations initiales de nombreux experts, Bad Rabbit n'exploite pas la faille EternalBlue de WannaCry. Bien qu'il scanne le service SMB, l'analyse dynamique prouve de manière définitive qu'il utilise une méthode beaucoup plus simple: une attaque par force brute armée d'un dictionnaire d'identifiants intégré.
Une propagation simpliste mais dévastatrice
Le processus d'infection est méthodique: scan ARP du réseau local, puis tentatives systématiques de connexion SMB en testant toutes les combinaisons du dictionnaire. L'expérience de StreamScan avec deux machines Windows 7 le confirme: la machine vulnérable à EternalBlue n'a pas été infectée, mais aurait succombé avec des identifiants faibles.
Le dictionnaire révèle des pratiques alarmantes: 35 noms d'utilisateurs courants (admin, root, guest, nasadmin) et 49 mots de passe d'une faiblesse consternante comme "123456", "qwerty123", "password", "admin123", "77777". Ces combinaisons, qui ne devraient jamais exister en environnement professionnel, ont pourtant permis une propagation massive.
Une leçon sur la négligence
Bad Rabbit démontre qu'une attaque techniquement basique peut causer des dégâts considérables. Le fait que des mots de passe aussi évidents compromettent encore des réseaux d'entreprises et d'administrations révèle un échec collectif dans l'application des politiques de sécurité de base.
StreamScan recommande des contrôles d'accès robustes, la sensibilisation des utilisateurs et le déploiement d'outils de détection comportementale.
