Bad Rabbit, un ransomware aux airs de NotPetya

Plusieurs éditeurs de sécurité ont trouvé des liens forts entre la campagne du ransomware Bad Rabbit ciblant l’Ukraine et la Russie et l’offensive NotPetya en juin dernier.

BitDefender, Talos, l’équipe de sécurité de Cisco, ESET, Group IB, Intezer Labs, Kaspersky Lab et Malwarebytes , ainsi que le chercheur Bart Parys, ont rendu des rapports sur l’attaque Bad Rabbit intervenue en début de semaine. Plusieurs entreprises, aéroport, agence de presse, métro ont vu leurs serveurs attaqués par un ransomware, réclamant 0,005 bitcoin (236 euros) pour débloquer les fichiers chiffrés. Les analyses montrent des connexions entre Bad Rabbit et NotPetya.

« Bad Rabbit a des similitudes avec NotPetya, car il est basé sur la souche du ransomware Petya », soulignent les experts de Cisco. Ils ajoutent, « des parties importantes du code semblent avoir été réécrites ».

En juin dernier, une analyse d’ESET avait associé l’offensive NotPetya à un groupe de cyberespionnage, dénommé TeleBots. Ce dernier est connu aussi pour s’être attaqué au réseau ukrainien en décembre 2015 et 2016. Ce groupe est actif depuis 2007 et a pris plusieurs identités comme Sandworm, BlackEnergy, Electrum, TEMP.Noble, Quedagh et plus récemment TeleBots. Les spécialistes de la sécurité soupçonnent ce groupe de concentrer ses efforts sur l’Ukraine et d’opérer depuis la Russie avec potentiellement une aide des autorités russes. Dans le cadre de Bad Rabbit, le ransomware a touché plusieurs entreprises russes et non uniquement des organisations ukrainiennes. Une erreur ou une ruse ?

Une préparation minutieuse pour des attaques plus importantes

Selon RiskIQ et Kaspersky Lab, l’opération Bad Rabbit a été préméditée et la préparation a mis plusieurs mois pour pirater les sites Web, héberger les scripts malveillants nécessaires pour lancer des fausses mises à jour de Flash Player et aider à la propagation du ransomware. Il faut donc une structure bien établie, des ressources, du temps et de l’argent pour mener ce type d’opération. Pour ces raisons, le groupe derrière Bad Rabbit a certainement obtenu une aide d’un Etat. RiskIQ explique même que certains sites Web ont été compromis dès 2016, suggérant que Bad Rabbit était peut-être affecté à une autre opération.

Les experts en sécurité ont des doutes sur la finalité de Bad Rabbit. Le ransomware pourrait être une ruse pour masquer d’autres attaques plus importantes. De plus en plus de groupes de cybercriminels utilisent des rançongiciels pour couvrir du siphonage de données ou pour implanter d’autres malwares. On se souvient par exemple que NotPetya n’était finalement pas un ransomware, mais avait pour mission le sabotage des systèmes d’information des entreprises.

Crédit Photo: D.R

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s