L’attaque ‘NotPetya’ ne viserait pas l’argent, mais le chaos
A présent que les entreprises de sécurité examinent massivement et de très près le maliciel (malware) qui a paralysé pas mal d’organisations, elles supposent de plus en plus qu’il ne s’agit pas d’un rançongiciel (ransomware), mais de quelque chose de nettement plus destructeur.
La cyber-attaque, qui s’est propagée très rapidement ces derniers jours dans le monde et qui a été baptisée ‘NotPetya’ par des spécialistes, ne serait finalement pas un rançongiciel. Selon une analyse effectuée par Matt Suiche de la firme de cyber-sécurité Comae, le maliciel qui signalait certes que les utilisateurs pourraient récupérer leurs fichiers contre paiement d’un montant de 300 dollars, n’aurait jamais eu l’intention de tenir cette promesse.
Il s’avéra en effet très vite que les victimes ne récupéreraient pas leurs fichiers, lorsque l’adresse e-mail à laquelle les virements devaient être effectués, fut bloquée. La plupart des rançongiciels créent un portefeuille bitcoins unique pour chaque infection, afin de savoir directement quels utilisateurs ont payé et de pouvoir alors leur envoyer les clés de décryptage de leurs fichiers. Il n’en est pas question ici. Toutes les victimes ont été sommées de virer 300 dollars à un seul et même portefeuille (‘wallet’), puis d’envoyer un mail avec un code unique à une adresse mail Posteo, pour prouver leur paiement. Posteo a entre-temps bloqué cette adresse e-mail en signalant ne pas vouloir qu’on abuse de sa plate-forme.
Le rançongiciel en tant que couverture
D’une manière générale, NotPetya est un maliciel nettement plus sophistiqué que le précédent WannaCry, mais sa partie ‘ransomware’ révèle une très grande part d’amateurisme, selon les chercheurs. Voilà qui explique pourquoi ils soupçonnent que ce rançongiciel est surtout une couverture, un prétexte. Suiche affirme à présent avoir trouvé la preuve que les auteurs n’ont jamais eu l’intention de rendre les fichiers. Selon lui, le maliciel est un ‘wiper’ destiné à effacer complètement les ordinateurs et pas à les crypter.
Voilà ce qu’il écrit dans un communique posté sur son blog. Cette info a entre-temps été confirmée par l’entreprise de sécurité Kaspersky. Suiche signale que le virus Petya initial était bien conçu comme un rançongiciel, mais que ce ‘NotPetya’ vise un autre objectif. “On observe que la version actuelle de Petya a été manifestement réécrite, afin d’en faire un ‘wiper’ (effaceur), et pas de fonctionner comme un véritable ransomware”, ajoute-t-il sur son blog. Le virus détruit en fait le disque dur des ordinateurs sur lesquels il aboutit.
Comment expliquer dès lors le message affiché par le maliciel? Les chercheurs ne le savent pas encore, mais Suiche pense en tout cas qu’il s’agit là d’une tentative pour attirer davantage l’attention des médias. On peut alors conclure que le but recherché a été atteint. Le virus a occasionné des dommages surtout en Ukraine, où il a paralysé un fournisseur d’électricité, la banque centrale, l’entreprise télécom nationale et un aéroport.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici