Bad Rabbit : le ransomware qui venait de l’est

0

Nous pouvons aujourd’hui affirmer que 2017 peut officiellement être nommée « année des ransomwares » : pour preuve, le nombre et la complexité de ces malwares augmentent sans cesse et ont fait évolué les ransomwares, au cours de ces derniers mois, de simple inquiétude en cybersécurité à une véritable menace publique.

 

Et cette tendance n’est pas prête de s’arrêter : en effet, la semaine dernière, une nouvelle cyberattaque nommée Bad Rabbit a frappé aéroports et médias Ukrainiens et Russes. Ce ransomware – qui a aussi été sporadiquement aperçu en Allemagne ou en Turquie – est resté de relativement « faible » ampleur.

Cette attaque apparait 4 mois à peine après le malware “NotPetya” – aussi venu de l’est – mais ayant, lui, infecté de nombreux pays. Intéressons-nous donc d’un plus près à Bad Rabbit, de sa composition à sa propagation, dans le but de savoir comment lutter le plus efficacement possible face à ce genre de menaces.

  • Bad Rabbit: un ransomware simple mais virulent

Comme nous l’avons vu précédemment, une nouvelle campagne de ransomware (ou rançongiciel) a frappé de nombreux équipements en Europe de l’est, touchant principalement les entreprises ayant des machines Windows. Nommé Bad Rabbit, ce ransomware est apparu le 24 octobre dernier. La façon avec laquelle il a frappé simultanément ses différentes victimes ont immédiatement rappelé les attaques Wannacry ou encore Petya, aussi apparues cette année.

 

Bad Rabbit s’est, en effet, avéré basé sur le code de NotPetya (bien qu’il ne soit pas du type « effaceur » comme son prédécesseur, ne touchant donc pas au disque dur de ses victimes). Son code a été lourdement modifié, même si le comportement et l’impact de ces attaques ont tout de même beaucoup de similarités.

Pour lancer cette attaque, les hackers ont tout d’abord piraté des sites internet de médias populaires en Europe de l’est – postant un lien pop-up vers une (fausse) mise à jour d’Adobe Flash, tout en donnant aux internautes “l’opportunité” de naviguer sur le site tout en installant leur produit.

Une fois le téléchargement terminé, le ransomware avait alors infiltré l’équipement, par un simple clic, se déplaçant latéralement à travers les différents équipements du même réseau que la victime – de façon très simple et binaire.

Quand le système est infecté, Bad Rabbit bloque alors l’équipement, le rendant inutilisable, demandant une rançon contre le décryptage des documents de la victime. L’utilisateur est alors poussé à payer une rançon de 0,5 bitcoin, qui équivaut à la somme d’environ 280 dollars.

La principale cible de Bad Rabbit a été les entreprises, qui ont été nombreuses à être impactées en Russie et Ukraine, même si nous pouvons voir dès à présent observer une baisse du nombre d’infections : en effet, le serveur hébergeant Bad Rabbit semble ne plus être en fonction et la plupart des sites internet concernés ont été aujourd’hui « nettoyés ». Mais attention, cela ne signifie pas que les internautes, que ce soit au sein des entreprises ou même à la maison, doivent baisser la garde face à ce type d’attaques qui deviennent malheureusement courantes !

L’identité des hackers à la base de Bad Rabbit n’est pour le moment pas connue, pas plus que le motif (autre que financier) de ces attaques, mais les similarités troublantes de Bad Rabbit avec le malware NotPetya poussent certains experts en cybersécurité à penser que ces attaques proviendraient des mêmes hackeurs.

Bien que cette attaque n’ait pas eu un impact démesuré et qu’elle eut été vite arrêtée et identifiée, il est tout de même alarmant de voir avec quelle facilité les hackeurs ont pu la mettre en place. En effet, ils n’ont pas eu besoin de procédés ingénieux mais d’une simple (et très vieille) méthode pour tromper leurs victimes grâce à une fausse mise à jour.

La sensibilisation aux problèmes de sécurité informatique est donc loin d’être intégrée dans nombre d’entreprises, et chez de nombreux internautes.

  • La prévention est la meilleure approche pour contrôler votre sécurité informatique

Si certains experts en cybersécurité disent avoir trouvé un “vaccin” anti-Bad Rabbit et pensent pouvoir récupérer les données cryptées par ce ransomware, ceux-ci avertissent aussi du fait que la seule vraie façon de protéger vos données de manière efficace est de prévenir ces attaques avant qu’elles n’arrivent.

Pour ce faire, voici quelques-uns de nos conseils pour vous prémunir au mieux de ce type de cyberattaques :

  • La première des choses est d’installer un antivirus fiable et d’en installer toutes les mises à jour au quotidien.
  • Aussi, essayez de sauvegarder l’intégralité des données présentes sur vos équipements et ce le plus rapidement possible (et à intervalles régulières !)
  • Evitez de cliquer sur des pop-ups vous demandant d’installer des mises à jour de logiciels (par exemple d’Adobe Flash Player, comme nous avons pu le voir avec Bad Rabbit). Assurez-vous que l’éditeur officiel de ce logiciel est à la source de toute mise à jour que vous effectuerez.
  • Si vous souhaitez approfondir votre protection contre le ransomware Bad Rabbit en particulier, sachez qu’Amit Serper, un chercheur en cybersécurité, dit avoir découvert un vaccin protégeant vos équipements contre cette attaque : retrouvez-en les instructions, étapes par étapes, ici.
  • Si vous êtes confrontés à ce type d’attaque et qu’une rançon vous est demandé en échange de la restitution de vos données, notre conseil est de ne surtout pas payer les hackers. Ceci les encouragera à retenter l’expérience avec de nouvelles victimes et ne vous assure pas forcément qu’ils restitueront vos données en temps et en heure.
  • Enfin, sachez que des solutions existent afin de vous prémunir et de vous protéger contre ce type d’attaques, comme notre scanner Ikare, qui automatise la mise en place des meilleures pratiques de sécurité et du management des vulnérabilités (que vous pouvez tester gratuitement, ici.)

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply