Au secours! Au secours! Une nouvelle épidémie de nouveau ransomware a touché les grandes infrastructures ukrainiennes et russes, qui regroupent plusieurs organisations de transport ainsi que de nombreuses organisations gouvernementales. Elle porte désormais le nom de «Bad Rabbit» .
Selon les médias, de nombreux ordinateurs ont été chiffrés avec cette cyberattaque. Des sources publiques ont confirmé que les systèmes informatiques du métro de Kiev, de l'aéroport d'Odessa et de nombreuses autres organisations russes avaient été touchés.
Le logiciel malveillant utilisé pour cette cyber-attaque était “Disk Coder.D” - une nouvelle variante du logiciel ransomware qui s'appelait généralement “Petya”. La précédente cyberattaque de Disk Coder a entraîné des dommages à l'échelle mondiale en juin 2017.
ESET à propos de Bad Rabbit.
Le système de télémétrie ESET a signalé de nombreuses occurrences de Disk Coder. En Russie et en Ukraine, des cyberattaques informatiques de Turquie, de Bulgarie et de quelques autres pays ont également été détectées.
Les chercheurs en sécurité d'ESET travaillent actuellement sur une analyse complète de ce malware. Selon leurs conclusions préliminaires, Disk Coder. D utilise l'outil Mimikatz pour extraire les informations d'identification des systèmes affectés. Leurs conclusions et analyses sont en cours et nous vous tiendrons au courant dès que de plus amples détails seront révélés.
Le système de télémétrie ESET indique également que l’Ukraine ne compte que pour 12, 2% du nombre total de fois où elle a vu une infiltration de Bad Rabbit. Voici les statistiques restantes:
- Russie: 65%
- Ukraine: 12, 2%
- Bulgarie: 10, 2%
- Turquie: 6, 4%
- Japon: 3, 8%
- Autre: 2, 4%
La répartition des pays susmentionnée a donc été compromise par Bad Rabbit. Fait intéressant, tous ces pays ont été touchés au même moment. Il est fort probable que le groupe ait déjà pris pied dans le réseau des organisations touchées.
Le comment
La méthode de distribution utilisée pour Bad Rabbit est le «Drive-By Download». En termes plus simples, un téléchargement drive-by est une fenêtre contextuelle de téléchargement involontaire affichée sur des sites Web ou des courriels. Dans ces cas, le «fournisseur» affirme que l'utilisateur a «consenti» à ce téléchargement particulier, bien qu'il n'ait en réalité aucune connaissance du début d'un téléchargement de logiciel indésirable ou malveillant.
De même, dans l'affaire Bad Rabbit, ce que nous avons vu jusqu'à présent est une fenêtre contextuelle vous demandant de télécharger une version mise à jour du lecteur Flash d'Adobe, comme indiqué ci-dessous.
Dès que quelqu'un appuie sur le bouton de téléchargement, un fichier exécutable est téléchargé. Ce fichier exécutable, à savoir install_flash_player.exe, est le compte-gouttes de Bad Rabbit. En fin de compte, l’ordinateur se verrouille et affiche la note de rançon comme suit.
De plus, la page de paiement de Bad Rabbit ressemble à ceci.
Voici les sites Web compromis.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-crimearu
- hxxp: //www.t.ksua
- hxxp: // most-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Maintenant quoi?
Les cyberattaques ont aujourd'hui de nombreux visages. Internet n'est plus un lieu sûr, raison pour laquelle l'utilisation d'un authentique réseau privé virtuel est fortement recommandée. surtout lors de la connexion à un réseau Wi-Fi public.
Créez un tunnel crypté de manière sécurisée entre vous et Internet avec Ivacy VPN, le fournisseur de services VPN du secteur, et prenez le contrôle de votre présence en ligne tout en protégeant vos données précieuses.
