BadRabbit : une nouvelle attaque au ransomware touche l’Ukraine et la Russie

Il est encore un peu tôt pour tirer des conclusions, mais plusieurs sources concordantes signalent que des infections de ransomware ont touché cette après-midi plusieurs organisations basées en Russie et en Ukraine. L’attaque a débuté avec plusieurs médias russes, dont l’agence de presse Interfax, visée par un ransomware inconnu, mais à l’interface proche de celle utilisée lors de l’attaque NotPetya.

 

Le message affiché par le ransomware après l’infection de la machine

Le ransomware en question chiffre les données du système et redirige l’utilisateur vers un service caché Tor afin de procéder au paiement de la rançon. Sur le site, les opérateurs exigent la somme de 0.05 bitcoin, ce qui représente environ 243 euros. Un décompte de 40h est également affiché, indiquant le temps restant pour payer avant que la rançon à payer n’augmente.

Reuters a confirmé de son côté que la vague avait également touché le métro de la ville de Kiev en Ukraine, ainsi que l’aéroport d’Odessa.  La société de cybersecurité Eset confirme que le malware utilisé est « une variante de Petya », ce qui était également le cas de NotPetya. Sur son blog, Eset précise que « ses outils de télémétrie ont détectée plus d’une centaine d’infections causées par ce ransomware » qu’Eset a baptisé Diskcoder.D. Eset précise également que le ransomware a recours à Mimikatz pour procéder à du vol d’identifiants et se propager sur le réseau.

Il est pour l’instant trop tôt pour s’avancer sur le vecteur d’infection utilisé par ce nouveau malware, ou sur la portée réelle de l’attaque et le nombre de victimes. Les éditeurs d’antivirus ont commencé à générer des signatures afin de détecter les versions de ce nouveau ransomware.

ZDNet