Cet article est mis à jour au fur et à mesure que nos experts trouvent de nouvelles données sur le malware.
Nous avons déjà vu deux grandes attaques de ransomwares à grande échelle cette année : le tristement célèbre WannaCry et ExPetr (également connu comme Petya et NotPetya). Il semblerait qu’une nouvelle attaque soit en cours : le nouveau malware s’appelle Bad Rabbit – c’est tout du moins le nom indiqué sur le site internet du darknet mentionné sur le message de rançon.
Ce que nous savons pour le moment, c’est que le ransomware Bad Rabbit a infecté plusieurs grands organes de presse russes dont l’agence d’information Interfax et Fontanka.ru. L’aéroport international d’Odessa a signalé une cyberattaque sur son système d’information, mais nous ne savons pas encore s’il s’agit de la même attaque.
Les criminels qui se cachent derrière Bad Rabbit demandent 0,05 bitcoin en rançon, ce qui revient à 280 dollars au taux de change actuel.
Selon ce que nous avons trouvé, l’attaque n’utilise pas d’exploits. Il s’agit d’une attaque drive-by : les victimes téléchargent un faux installateur Adobe Flash de sites internet infectés et lancent manuellement le fichier .exe, ce qui les infecte. Nos chercheurs ont détecté un certain nombre de sites internet compromis ; ce sont tous des sites de médias ou d’information.
Nous ne savons pas encore s’il est possible de récupérer les fichiers chiffrés par Bad Rabbit (en payant la rançon ou en tirant parti d’un glitch dans le code du ransomware). Les experts en antivirus enquêtent sur cette attaque et nous mettrons à jour cet article avec leurs résultats.
Selon nos données, la plupart des victimes de ces attaques se trouvent en Russie. Nous avons aussi vu des attaques similaires mais moins nombreuses en Ukraine, en Turquie et en Allemagne. Ce ransomware a infecté des appareils à travers un certain nombre de sites internet piratés de médias russes. Selon notre enquête, il s’agit d’une attaque ciblée contre les réseaux d’entreprise en utilisant des méthodes similaires à celles utilisées dans l’attaque ExPetr. Cependant, nous pouvons confirmer que cela est lié à ExPetr. Nous continuons à enquêter. Pendant ce temps, vous pouvez trouver plus de détails sur Securelist.
Utilisateurs de PC :
– Bloquez l’exécution des fichiers c:\windows\infpub.dat et c:\Windows\cscc.dat.
– Désactivez le service WMI (si cela est possible dans votre environnement) pour éviter que le malware ne se répande dans votre réseau.
Conseils pour tout le monde :
– Faites des sauvegardes de sécurité de vos données.
– Ne payez pas la rançon.
Sécurité des biens et des personnes - Audits Conseils 