Une nouvelle attaque de ransomware à travers la Russie et l’Ukraine

Par

le

Une nouvelle attaque de ransomware a infecté le système informatique du métro de Kiev, de l’aéroport d’Odessa et de certains médias russes, exigeant une rançon en bitcoin pour avoir la clé de décryptage.

Une nouvelle attaque de ransomware nommée BadRabbit se propage à travers la Russie, l’Ukraine et d’autres pays d’Europe de l’Est. Les cibles affectées sont des réseaux d’entreprise, les systèmes informatiques du métro de Kiev, de l’aéroport international d’Odessa en Ukraine, ainsi que plusieurs médias russes, avec des systèmes qui ont été cryptés et des ordinateurs affichant un message de rançon.

D’après les chercheurs en cybersécurité d’ESET et de Kaspersky, les auteurs ont des liens avec Petya, l’attaque ransomware qui s’est répandue dans le monde entier plus tôt cet été. Le cabinet de cybersécurité Kaspersky a constaté que Petya et BadRabbit sont apparus sur des dizaines de sites web piratés et se propagent à l’aide de la ligne de commande Windows Management Instrumentation (WMI), une interface de script pour gérer les périphériques et les applications d’un réseau, ainsi que Mimikatz, un outil de collecte de mots de passe et d’autres données provenant d’ordinateurs. « Cela indique que les acteurs derrière ExPetr/NotPetya ont soigneusement planifié l’attaque BadRabbit depuis juillet », explique Kaspersky à Wired.

ESET dit que l’une des méthodes utilisées pour distribuer BadRabbit est le Drive-by Download, où un code Javascript est injecté dans le corps HTML d’un site Web ou dans un fichier .js. Lorsqu’une personne visite ensuite un site compromis, une fenêtre indique que Flash Player doit être mis à jour, ce qui pousse les victimes à télécharger et à installer les logiciels malveillants eux-mêmes.

BadRabbit

Une fois qu’un ordinateur est infecté, les victimes sont redirigées vers une page du navigateur Tor qui demande 0.05 Bitcoins (environ 275 dollars) dans un délais de 41 heures, en échange du décryptage des données et de l’accès à la machine. Une fois cette limite dépassée, la rançon augmente.

Bien que BadRabbit présente des similitudes avec Petya, on ne sait toujours pas qui est derrière cette attaque. Petya a ciblé un certain nombre d’agences gouvernementales et d’entreprises plus tôt cette année, principalement en Ukraine. La Russie est un suspect viable pour Petya, mais toutes les preuves établissant un lien entre le logiciel malveillant et n’importe quel État-nation ont été circonstancielles.


Articles recommandés