«Bad Rabbit» : Le nouveau ransomware qui rappelle de mauvais souvenirs

“Ransomware BadRabbit : Plus de peur que de mal”, “Le ransomware Bad Rabbit crée le désordre en Russie et Ukraine”, “Bad Rabbit : ce que l’on sait de la dernière attaque au ransomware”, “فايروس الفدية الجديد Bad Rabbit يجتاح العالم”

Des titres effrayants lus sur differents sites, réseaux sociaux et média partout dans le monde depuis mardi  dernier sur le nouveau cauchemar ‘Bad Rabbit’. Ce nouveau logiciel malveillant s’est propagé, ce mardi, en Russie et en Ukraine. Pour plusieurs entreprises de cybersécurité, il présente des similitudes avec NotPetya, qui avait, fin juin, durement frappé l’Ukraine avant de faire tache d’huile.
Les premières alertes, mardi 24 octobre en début d’après-midi, ont eu des allures de remake. En Ukraine, l’aéroport d’Odessa a indiqué que ses services étaient ralentis en raison d’une attaque informatique ; le métro de Kiev a signalé que son système de paiement par carte bancaire était inutilisable. En Russie, l’agence de presse Interfax a annoncé que ses serveurs étaient indisponibles. Dans les trois cas, le même message était apparu sur des ordinateurs : «Si vous voyez ce texte, c’est que vos fichiers ne sont plus accessibles.» Suivait une adresse web, celle d’un site affichant une demande de rançon de 0,05 bitcoin (environ 236 euros).


Bad rabbit chiffre  les données de ses victimes et exige un paiement pour les déverrouiller . Un nouveau venu que plusieurs entreprises de cybersécurité ont d’ores et déjà identifié comme un cousin, sinon le successeur, d’un autre malware qui, l’été dernier, a fait couler beaucoup d’encre : NotPetya.
Près de 200 organisations, surtout en Russie et en Ukraine, ont été affectées par le virus informatique Bad Rabbit, quatre mois après la cyberattaque mondiale NotPetya qui avait démarré dans ces deux pays, a indiqué mercredi la société spécialisée Kaspersky Lab. Selon la société russe de sécurité informatique, « presque 200 cibles ont été touchées », principalement en Russie mais aussi en Ukraine et, dans une moindre mesure, en Turquie et en Allemagne.

Des «similarités» avec NotPetya

Côté russe, les deux victimes publiquement recensées sont Interfax et une autre agence de presse, Fontanka. L’entreprise moscovite de cybersécurité Group-IB fait cependant état de dégâts dans des «organisations étatiques de la Fédération de Russie» ainsi que dans des «organisations commerciales», sans plus de précisions. Très vite, l’éditeur d’antivirus slovaque Eset a vu dans Bad Rabbit une «version modifiée» de NotPetya.»
Cette mise à jour se présentait sous la forme d’un programme d’installation du logiciel Adobe Flash pour contaminer les ordinateurs et  se chargait de chiffrer les fichiers de la cible, tandis qu’une autre partie du code se charge d’infecter d’autres systèmes en scannant le réseau et en se propageant via SMB : BadRabbit n’a pas non plus recours à une faille pour se déplacer sur le réseau, mais utilise du code emprunté à l’utilitaire mimikatz, un outil permettant de retrouver des identifiants, ainsi qu’une liste de mots de passe par défauts communs.

Quels conseils peut-on donner à des patrons de PME qui seraient victimes de « rançongiciels » ?

La première recommandation est de ne pas payer. Si vous le faites, vous n’êtes pas du tout sûr d’obtenir la clé de déchiffrement.

Alors que faire ?

La meilleure méthode est la prévention. Il est indispensable de faire des sauvegardes régulières. L’idéal est qu’elles soient quotidiennes. Mais au minimum une fois par semaine. En cas d’effacement des données, cela permet de réinitialiser l’ordinateur et de récupérer les données sauvegardées.

Il faut aussi veiller à mettre à jour antivirus et logiciels système. Disposer de la dernière version est indispensable. Il est nécessaire également de sensibiliser les salariés, afin qu’ils ne cliquent pas sur des mails dont la provenance est inconnue. La présence de « guetteurs », vigilants sur la détection de mails douteux, est précieuse pour une direction informatique dans une entreprise.

Quant aux mises à jour, elles ne doivent être autorisées qu’aux informaticiens. Un simple utilisateur dans l’entreprise ne doit pas avoir les droits d’administrateur, qu’il soit employé ou directeur général.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *