Une nouvelle épidémie vient de se faire jour, qui touche essentiellement certains pays d’Europe de l’Est : Russie, Ukraine et dans une moindre mesure la Pologne et la Corée du Sud. Pour l’instant, on ne sait pas très bien qui est derrière ce malware, hormis leur origine russe, mais ce qui est sûr c’est que ce n’est certainement pas pour faciliter la vie des responsables sécurité qu’ils se sont manifestés.

Après les épidémies WannaCry et Petya, il y  a quelques semaines, voici donc Bad Rabbit, qui sous un nom de bande dessinée, n’en est pas moins extrêmement virulent, un ransomware qui n’a pas fini de nous donner des cheveux blancs.

On peut déjà lui reconnaître un certain éclectisme, car il a déjà sévi au métro de Kiev, à l’aéroport d’Odessa International, parmi 200 cibles recensées, généralement de grosses structures.

Sur le principe, Bad Rabbit se comporte comme un ransomware traditionnel, qui nous prévient que nos fichiers sont chiffrés et que si on veut les récupérer, il faut payer 0,05 bitcoin, soit un peu moins de 300 $ au cours actuel et que si on ne le fait pas dans les 40 heures à venir, « nobody and never » ne pourra récupérer la clé qui nous permettrait de déchiffrer nos fichiers. Bien entendu, la procédure passe par TOR, le réseau d’anonymisation, cher à tous les criminels de la planète.

Tout cela nous semble décidément familier et n’est pas sans rappeler l’épisode Petya, à qui Bad Rabbit ressemble décidément beaucoup, les chercheurs ayant détecté que les deux malwares partagent 67 % de leur code.

Pour ce qui est du chiffrement proprement dit, il est effectué à partir de DiskCryptor, un outil Open Source tout ce qu’il y a de légitime, les clés étant générées via CryptGenRandom, cachées comme il se doit par un système RSA sur 2048 bits. Autrement dit, nous n’avons aucune chance de les récupérer sans passer par les fourches caudines de Bad Rabbit.

Bad Rabbit exploite les mêmes techniques que les autres ransomwares dont il s’inspire. Comme WannaCry, c’est surtout sa capacité à se diffuser sans intervention des victimes qui pose le plus de soucis.
Diffusion par Flash

Pauvre Flash, non seulement on lui prédit une mort prochaine, mais en plus il sert de vecteur à la diffusion des malwares. Car c’est bien lui qui sert de prétexte, via une fausse mise à jour de l’outil, à la propagation de Bad Rabbit.

Cela dit, cela fait quand même des mois que l’on sait que Flash va disparaître du paysage, aussi si un message arrive en vous proposant une mise à jour, la moindre des choses est quand même de se méfier.

Ce qui est plus gênant dans cette affaire, c’est que comme Petya, Bad Rabbit a la capacité de se déployer dans un réseau, à partir d’une machine infectée, sans nécessiter d’interaction précise de la part des autres utilisateurs.

Par rapport à WannaCry qui avait infecté des centaines de milliers de machines de par le monde, sans se préoccuper de l’identité de ses victimes, il semble que Bad Rabbit soit beaucoup sélectif et s’intéresse à quelques cibles en particulier. Pour l’instant les organisations russes semblent faire partie  du paysage, mais ce n’est certainement pas dans ce pays, qu’il faut s’attendre à un déferlement, car ce sont aussi des russes qui ont conçu le malware et que leurs objectifs doivent sans doute être très loin de la « petite mère patrie ».

Ce que l’on sait par contre, c’est que les auteurs du malware sont des fans de certains personnages de la suite TV Game of Thrones, Viserion, Drogon et Rhaegal, dont les noms apparaissent dans le code. Ce qui tendrait à nous faire croire que ce sont probablement des jeunes gens, férus de technique et compétents, qui sont à l’origine de Bad Rabbit, une preuve de plus que la formation russe et celle des ex pays d’Europe de l’Est du bloc soviétique, est souvent remarquable, qui produit ce genre d’individus, d’autant plus dangereux qu’il n’ont pas le moindre scrupule vis-à-vis de leurs victimes. Pour eux, c’est souvent un jeu.

Pour se protéger, plusieurs éditeurs affirment que leurs outils sont capables de s’opposer à l’épidémie. Ce qui fait sourire Kaspersky, qui suggère plutôt de bloquer les fichiers c:\windows\infpub.dat et c:\windows\cscc.dat. Ce qui serait plus efficace.