Le mardi 24 octobre, le ransomware BadRabbit a frappé plusieurs pays comme l’Ukraine, la Russie, la Turquie et l’Allemagne. La plus récente cyberattaque présente quelques points de similitude avec NotPetya.

Pour rappel, un ransomware est un logiciel malveillant qui chiffre les données personnelles d’un ordinateur afin de demander une rançon à son utilisateur (en échange de ses données). Diffusé très largement dans plusieurs pays cet été, NotPetya avait notamment frappé l’Ukraine, dont certains aéroports et sociétés, qui s’étaient retrouvés paralysés par la cyberattaque. Et le petit dernier, BadRabbit semble rappeler l’attaque du mois de juin.

Cette fois-ci, c’est l’aéroport d’Odessa (sud de l’Ukraine) ainsi que les serveurs et ordinateurs du métro de Kiev qui ont été les cibles de BadRabbit, selon la société de cybersécurité Group-Ib. En Russie, Interfax et l’agence de presse Fontanka ont aussi été victimes de la cyberattaque. Selon la société d’antivirus Kaspersky, « la plupart des cibles sont situées en Russie. Des attaques moins nombreuses mais semblables ont également été répertoriées dans d’autres pays, […] dont la Turquie et l’Allemagne. Au total, il y a près de 200 cibles. » À chaque fois, le message s’affichant sur les ordinateurs infectés était similaire : « si vous voyez ce texte, c’est que vos fichiers ne sont plus accessibles. » Pour ce qui est du processus, une fenêtre invitait l’utilisateur à mettre sa version d’Adobe flash Player à jour, et le fichier .exe qu’il téléchargeait s’occupait de chiffrer les données. Un message réclamant une rançon de 0,05 bitcoins (environ 340 euros) s’affichait au coté d’un décompte qui faisait augmenter la rançon si l’utilisateur ne payait pas dans les temps.

Group Ib BadRabbit

©Group-Ib

Selon Group-Ib et Kaspersky, le ransomware BadRabbit présente des similitudes avec son prédécesseur dans le sens où lui aussi possède un outil capable d’extraire les mots de passe d’un ordinateur. Et qui plus est, lui aussi se propage grâce à un protocole de partage de fichiers entre ordinateurs équipés de Windows. Selon Group-Ib, il pourrait représenter une version alternative de NotPetya. Bien que, Group-Ib déclare : « au cours de notre analyse, nous avons pu constater que BadRabbit est une version modifiée de NotPetya, avec quelques changements sur l’algorithme de chiffrement mais des parties [littéralement identiques] à NotPetya, » Kaspersky reste néanmoins plus nuancé sur l’auteur de la cyberattaque.

Là où la Russie avait été pointée du doigt lors de la dernière cyberattaque au ransomware, celle-ci semble plutôt hors de cause cette fois-ci. À suivre.

Pour l’anecdote, les auteurs de la cyberattaque semblent être des fans de Games Of Thrones, puisque des nombreux extraits de lignes de codes font références à la série, dont aux noms des dragons de Daenerys.

Source : The Verge