Le 24 octobre, une campagne de distribution du ransomware Bad Rabbit a principalement frappé la Russie, l'Ukraine et des pays en Europe de l'Est. A priori, pas de victimes en France, souligne le CERT-FR. Toutes les attaques ont eu lieu en début de semaine, et c'est depuis le calme plat.

Plusieurs chercheurs en sécurité informatique ont mis en avant du code commun entre Bad Rabbit et NotPetya qui avait été à l'origine d'une cyberattaque mondiale en juin dernier. Toutefois, contrairement à NotPetya, Bad Rabbit n'exploite pas une vulnérabilité pour son installation.

Des sites légitimes compromis ont été les hôtes d'un script JavaScript redirigeant vers un serveur malveillant. Les victimes ont été incitées à télécharger, puis installer manuellement une prétendue mise à jour d'Adobe Flash Player (install_flash_player.exe).

Bad Rabbit utilise notamment du code de l'outil légitime DiskCryptor pour chiffrer des fichiers présents sur l'ordinateur Windows infecté, tandis que le Master Boot Record (MBR) est modifié afin d'afficher une demande de rançon au redémarrage.

Bad-Rabbit

Afin de se propager dans un réseau interne, Bad Rabbit s'appuie sur le protocole SMB, mais toujours sans exploiter une vulnérabilité comme le faisait NotPetya avec des exploits fuités de la NSA. Il essaie par exemple de récupérer des mots de passe administrateurs en mémoire système, et n'a pas de capacité de ver informatique.

Selon Kaspersky Lab, Bad Rabbit a fait près de 200 victimes. " Une fois l'infection largement répandue et le début de l'investigation des entreprises de sécurité, les cyberattaquants ont immédiatement supprimé le code malveillant qui avait été ajouté aux sites hackés. "

L'éditeur russe ajoute que l'algorithme de hachage utilisé lors de l'attaque Bad Rabbit est similaire à celui utilisé par ExPetr qui est autrement connu en tant que NotPetya. De plus, les deux attaques ont utilisé les mêmes domaines.

L'attaque par Bad Rabbit aurait été fomentée à partir du mois de juillet avec la compromission de certains sites. RiskIQ a cependant trouvé des traces du vecteur de distribution de Bad Rabbit remontant à début 2016.

Pour Bitdefender, Bad Rabbit est " une nouvelle souche du ransomware GoldenEye ", ce qui fait également référence à NotPetya. ESET avait estimé qu'il existait un lien entre NotPetya et le groupe TeleBots.