BadRabbit Ransomware : le retour de NotPetya ?

BadRabbit, une réplique de NotPetya ?

Il y a tout juste quatre mois, une gigantesque attaque du ransomware NotPetya s’est répandue l’Ukraine et la Russie. De plus, cette cyberattaque a touché plusieurs multinationales. Ainsi, le ransomware a infecté des milliers de réseaux informatique, et fait plusieurs millions de dollars de dégâts. Aujourd’hui, une réplique (visiblement) de cette attaque se répercute à travers le monde, comme une nouvelle variante du code destructeur. Et cette variante s’appelle BadRabbit.
Ainsi cette semaine, la communauté mondiale de la cybersécurité a commencé à traquer la flambée d’un ransomware lié aux auteurs de NotPetya. En effet, connu sous le nom de BadRabbit, cette souche a déjà contaminé des centaines d’ordinateurs, principalement en Russie. De plus, BadRabbit a aussi fait des victimes en Ukraine, en Turquie, en Bulgarie et en Allemagne. Néanmoins, pour l’instant, cette épidémie reste seulement une petite fraction de celle de NotPetya. Pourtant, BadRabbit a déjà touché plusieurs médias Russes, incluant Interfax. En outre, le ransomware a également infecté Odessa, l’aéroport d’Ukraine, et le métro de Kiev. Ainsi, leurs systèmes informatiques ont été partiellement paralysés. Aussi, le système de paiement par carte de crédit du métro a été momentanément désactivé.

La dangerosité de BadRabbit

Un chercheur à l’ESET, R. Lipovsky, a déclaré « l’aspect dangereux de BadRabbit est le fait qu’il ait pu infecter autant d’institutions. Cela constitue une infrastructure critique en très peu de temps ». Donc une attaque très bien menée.
De plus, des chercheurs ont également trouvé une preuve solide liant l’attaque BadRabbit aux créateurs de NotPetya. En effet, après l’épidémie NotPetya en juillet dernier, on a découvert qu’un site d’informations ukrainien avait été modifié pour diffuser le malware. De plus, une douzaine d’autres sites ont été similairement corrompus … mais n’avaient pas encore été activés pour infecter les victimes. Ainsi ce sont une trentaines de ces sites web piratés qui ont commencé à distribuer le malware BadRabbit cette semaine.
Donc cela montre que les acteurs derrière ExPetr / NotPetya avaient soigneusement préparé l’attaque BadRabbit depuis juillet dernier.
BadRabbit Malware Ransomware

L’épidémie BadRabbit

Tandis que l’on dénombre moins de 200 victimes parmi les utilisateurs de Kaspersky, ce sont environ 50 à 60 ordinateurs du Gouvernement Ukrainien qui ont été touchés. Et on parle seulement du le Gouvernement Ukrainien ! Ainsi, d’autres appareils du réseau du secteur privé Ukrainien sont possiblement infectés eux aussi. En outre, l’ESET estime que seulement 12,2% des victimes sont en Ukraine et 65% en Russie. Ainsi, ces nombres suggèrent des centaines d’infections en Russie.
Ainsi, beaucoup de systèmes ont été déconnectés manuellement à cause de l’attaque BadRabbit, afin de contrôler l’épidémie. Mais cette disruption représente toujours une fraction des dommages dont l’Ukraine a souffert depuis NotPetya. Ou même depuis des vagues de cyberattaques ces dernières années. Ainsi, la portée du territoire et la couverture n’est pas si sérieuse que ça, donc on ne peut voir de distribution massive.

Similarités et différences entre NotPetya et BadRabbit

De plus, d’autres liens vers NotPetya se distinguent. En effet, à l’instar de NotPetya, BadRabbit se propage en utilisant Windows Management Instrumentation Command-Line (WMIC). Et en combinaison, des coordonnées volées en utilisant l’outil en open-source Mimikatz. De plus, comme NotPetya, BadRabbit se répand aussi en utilisant le protocole Block du serveur de message Microsoft. Néanmoins, contrairement à NotPetya qui utilisait EternalBlue, BadRabbit utilise des coordonnées codées dans le dur dans son logiciel.
Donc si BadRabbit et NotPetya ont effectivement créés par les même hackers, leurs origines communes soulèvent d’importantes questions à propos des motivations du ransomware. Ainsi, NotPetya n’était en fait pas du tout un ransomware, et n’offrait d’ailleurs aucun moyen aux victimes de payer pour retrouver leurs fichiers. Mais à la place, ce malware destructeur était finement déguisé et sponsorisé par un état (probablement la Russie). Ainsi, son but était simplement de faire un maximum de dégâts auprès de ses cibles ukrainiennes. Néanmoins, vu que la majorité des victimes de BadRabbit sont russes, on peut avoir des doutes quant aux origines russes du ransomware.
Aussi, BadRabbit demande à l’utilisateur de payer 0,5 bitcoins (soit environ 251€) pour décrypter leurs fichiers. Mais avec son lien au faux ransomware NotPetya, on ne sait pas si ce paiement montre des résultats.
En outre, NotPetya qui s’infiltrait via le réseau informatique des victimes à travers des mises à jours corrompues. Mais BadRabbit n’a pas l’air d’utiliser cette méthode, puisqu’il se propage grâce à de fausses mises à jour Flash. Ainsi, ce sont les victimes qui les installent elles-même.
Néanmoins, on peut aussi penser que le malware ait été injecté dans le réseau des cibles grâce à procédé encore plus insidieux. Donc BadRabbit pourrait n’être qu’un écran de fumée.

BadRabbit reste un mystère

Le gouvernement Ukrainien a signalé une alerte provenant de l’équipe d’intervention d’urgence informatique d’Ukraine. Ainsi, ils ont indiqué que la vulnérabilité de Microsoft Office Dynamic Data Exchange a aussi été utilisée. En effet, des fichiers malveillants Word, Excel et Outlook ont aidé le malware à se propager. Mais des emails de type phishing pourraient aussi avoir été utilisé, en imitant le support de Microsoft.
En conclusion, tout ça laisse beaucoup de questions en suspend à propos du mécanisme et des motivations de ce ransomware. Même si BadRabbit se révèle être une cyberattaque sponsorisée par un état ou bien une opération de profits, il marque son arrivée en grande pompe !

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email