Le 24 octobre 2017, le CERT-FR a constaté une vague de distribution de rançongiciel, Bad Rabbit, principalement localisée en Russie et dans des pays d'Europe de l'Est.

Bad Rabbit partage des portions de code avec Petya et NotPetya. Pour rappel, NotPetya a infecté de nombreuses machines en juin 2017.

Cependant, dans les cas constatés, Bad Rabbit n'exploite aucune vulnérabilité pour s'installer. Des sites légitimes compromis ont servi un script javascript redirigeant les utilisateurs vers un serveur contrôlé par l'attaquant. De là, l'attaquant a incité les utilisateurs à installer le maliciel en se faisant passer pour une mise à jour Adobe Flash Player. Si l'utilisateur a explicitement accepté, le fichier install_flash_player.exe était téléchargé. Dans les cas observés, l'utilisateur devait alors manuellement lancer l'exécution de ce binaire. Ensuite, si l'utilisateur possédait les privilèges administrateurs, Bad Rabbit était installé et la machine considérée infectée.

Bad Rabbit utilise DiskCryptor, un logiciel en source ouverte, pour chiffrer les fichiers présents sur la machine, crée une tâche planifiée pour redémarrer le système et modifie le Master Boot Record (MBR) afin de pouvoir afficher la note de rançon au prochain démarrage. Contrairement à NotPetya, il semblerait techniquement possible de pouvoir déchiffrer les fichiers une fois la rançon payée.

Pour se propager dans le réseau interne, Bad Rabbit utilise le protocole SMB. Toutefois, il n'exploite aucune vulnérabilité. Il tente de récupérer des mots de passe administrateurs en mémoire avec une variante de Mimikatz. Il embarque également une liste de noms d'utilisateurs/mots de passe couramment utilisés. Le respect des bonnes pratiques permet de neutraliser ce vecteur d'infection.

A ce jour, le CERT-FR n'a pas connaissance de victimes françaises.