Près de quatre mois après les dernières attaques, une nouvelle variante du ransomware Petya, baptisée « Bad Rabbit », touche de nombreuses entreprises, principalement en Russie et en Ukraine. Des entreprises ont également été attaquées en Allemagne, Turquie et dans d’autres pays. Le code malvaillant du ransomware contient un module d’auto-propagation, conçu pour réaliser des mouvements latéraux à travers le réseau de l’entreprise après l’infection, ce qui rend cette menace très virulente. Le vecteur d’infection initial semble provenir de deux agences de presse Russes : fontanka[.]ru and interfax[.]ru.
Le processus d'infection commence par un faux programme d'installation Adobe Flash téléchargé à partir de sites Web compromis. Ce faux programme d'installation Flash contient la charge utile du ransomware dans une superposition de compressions ZLIB. Une fois déchiffré, il dépose et exécute le véritable ransomware
Le code exécutable utilise en outre un faux certificat d’authentification de Symantec, comme le montre la capture ci-dessous :
Capture : Zscaler
Après l’infection, le système redémarre et l’utilisateur final voit apparaître un écran exigeant une rançon et indiquant à la victimle de se rendre sur un site .onion:
Capture : Zscaler
Ce site .onion réclame à l’utilisateur sa clé d’installation personnelle pour qu’il puisse découvrir le montant de la rançon en bitcoins et recevoir d’autres instructions. Notamment, la victime est menacée d'une augmentation du montant de la rançon si celle-ci n'est pas payée suffisamment rapidement.
Capture : Zscaler