Les chercheurs de Kaspersky Lab ont découvert que l’attaque ransomware Bad Rabbit avait des liens très étroits avec l’attaque ExPetr, qui s’est produite en juin dernier.
Selon leurs analyses, l’algorithme de hachage utilisé lors de l’attaque Bad Rabbit est similaire à celui utilisé par ExPetr. De plus, les experts ont découvert que les deux attaques utilisaient le même domaine et les similarités dans leurs codes sources respectifs indiquent que la nouvelle attaque est liée aux créateurs d’ExPetr.
Tout comme ExPetr, Bad Rabbit essaie de dérober des identifiants depuis la mémoire du système et de les diffuser au sein du réseau corporate par WMIC. Néanmoins, les chercheurs n’ont trouvé aucun exploit EternalBlue ou EternalRomance dans l’attaque Bad Rabbit ; alors que les deux étaient utilisés pour ExPetr.
Les investigations ont démontré que les attaquants derrière cette opération la préméditaient depuis au moins juillet 2017, en installant leur réseau d’infections sur des sites hackés, qui sont principalement des plateformes médias et sites d’information.
Selon la recherche de Kaspersky Lab, Bad Rabbit a fait près de 200 victimes, basées en Russie, Ukraine, Turquie et Allemagne. Toutes les attaques se sont déroulées le 24 Octobre et aucune nouvelle attaque n’est à déplorer depuis. Les chercheurs ont noté qu’une fois l’infection largement répandue et le début de l’investigation des entreprises de sécurité, les cyber attaquants ont immédiatement supprimé le code malveillant qui avait été ajouté aux sites hackés.
Les produits Kaspersky Lab ont détecté le ransomware avec succès, et ce, de manière proactive depuis le début de l’attaque. Cela peut-être visionné dans la vidéo https://www.youtube.com/watch?v=ZeZ9C8aPWtc&t=3s
Les experts de Kaspersky Lab continuent d’analyser Bad Rabbit pour trouver d’éventuels défauts dans sa routine de cryptage.
Le blog post qui répertorie les différentes étapes de cette investigation a été mis à jour https://securelist.com/bad-rabbit-ransomware/82851/