BadRabbit : un nouvelle cyberattaque touchant la Russie et l’Ukraine

Plusieurs médias russes et un métro ukrainien ont été victimes d’une attaque de ransomware identifiée le mardi 24 octobre 2017. D’après les experts qui l’ont découvert, ce nouveau malware baptisé « BadRabbit » présente beaucoup de similitudes avec ExPetr, Petya ou NoPetya.

 

Place à l’ingénierie sociale…

Comme il n’a agi qu’une seule journée, ce nouveau malware n’a pas causé autant de dégât que les précédents ransomwares Petya, NotPetya ou ExPetr. Au total, cette attaque a touché près de 200 utilisateurs non seulement en Ukraine et en Russie, mais aussi en Allemagne et en Turquie. En effet, ses auteurs ont rapidement supprimé le code malveillant du logiciel dès que les experts ont annoncé sa présence.

Toutefois, cette affaire attire davantage l’attention des spécialistes et des utilisateurs du fait que le lien constaté entre Badrabbit et les autres ransomwares a touché l’Ukraine. En effet, les investigateurs ont révélé qu’il fallait d’abord consulter l’une des plateformes précédemment contaminées par les attaquants pour identifier ce nouveau malware. Une fois entré sur la page du site concerné, il devait cliquer sur un faux lien menant vers une soi-disant mise à jour d’Adobe Flash Player, télécharger le fichier infecté et le lancer.

Les entreprises visées en priorité

Le logiciel malveillant ne semble pas susciter le moindre doute puisqu’il est bien similaire à un vrai installateur de Flash Player. Il porte d’ailleurs son logo. Avec cette apparence trompeuse, beaucoup d’utilisateurs tombent dans le filet des hackers. Les victimes ignorent qu’il s’agit bien d’une attaque informatique usant de l’ingénierie sociale.

Le but des attaquants était d’inciter les utilisateurs à lancer le mode administrateur, un mode permettant d’accéder librement à l’ordinateur concerné. Si les ransomwares précédents exploitent les brèches de Windows, BadRabbit se sert de l’ingénierie sociale.

Dès lors que le logiciel malveillant est lancé, il ajoute un fichier contaminé dans c : Windows. En même temps, il recherche les ordinateurs liés pour y propager le même type d’infection. En se référant à ce procédé de contamination, les experts estiment que les hackers visent avant tout les entreprises.

Une attaque préméditée plusieurs mois à l’avance

Les spécialistes qui ont découvert ce malware précisent que toutes les attaques ont eu lieu le même jour, et aucun cas de ransomware lié à BadRabbit n’a été constaté depuis. En effet, les hackers ont désactivé les logiciels malveillants qui ont été lancés sur les sites concernés.

D’après ces investigateurs en cyberattaque, les attaquants ont préparé cette opération depuis juin 2017, en installant leur réseau de contamination sur les sites piratés. Les principales cibles et victimes sont les sites d’information et les plateformes médias. Ces sites ont donc été hackés au moins 5 mois avant l’attaque.

Selon encore ces experts, ce malware installe des lanceurs différents. Ainsi, l’ordinateur ne lance pas Windows, mais l’interface est créée par les hackers une fois que l’utilisateur l’allume.

Lorsque BadRAbbit l’infecte, il va tenter de se répandre sur le réseau à l’aide d’une liste de noms et de mots de passe dissimulés dans le malware. De ce fait, les spécialistes insistent toujours sur la nécessité de créer des mots de passe forts, mais faciles à mémoriser.