close
#Applis

[update]NotPetya: vraiment un ransomware?

Cela fait deux jour qu’une nouvelle cyberattaque d’envergure se propage mondialement. Ce mardi 27 juin, NotPetya, un virus appartenant à première vue à la catégorie des ransomware, à l’instar de Wannacry qui avait fait pas mal de dégâts en mai, avait déjà infecté plusieurs milliers d’ordinateurs en quelques heures. Les grandes sociétés de cybersécurité comme MalwareTech ou Kaspersky Lab ne sont aps tout à fait d’accord quand à la nature du virus et de l’attaque.

Si vous n’êtes pas au courant des diverses cyberattaques de grande envergure qui ont frappé l’ensemble du globe ces deux derniers mois ,alors vous vivez certainement dans une grotte et vous ne lirez donc pas ceci. Pour rappel, au mois de mai, le ransomware (logiciel de rançon) Wannacry avait fait un carnage en s’autorépliquant sur plus de 300.000 ordinateurs répartis sur 150 pays dans le monde, touchant plus durement l’Inde, les USA et la Russie et paralysant parfois des institutions ou des entreprises privées d’importance, comme Renault, Fedex, le ministère de l’Intérieur russe ou encore le réseau du système national de santé britannique.

WannaCry utilise une faille de sécurité informatique de Windows exploitée par EternalBlue, un exploit supposément développé par la NSA qui avait été pourtant corrigé par Microsoft en mars 2017, mais qui a frappé les machines n’ayant pas encore été mises à jour ou utilisant un système d’exploitation ancien. Moins connu du grand public, Adylkuzz, un virus de minage de monnaie virtuelle, a sévi au même moment, utilisant exactement la même faille.

[update]NotPetya: vraiment un ransomware? notpetya actu geek

Mardi dernier, c’était au tour de NotPetya de briller de mille feux. D’abord identifié par un expert de Kaspersky comme étant une itération plus élaborée d’un ancien virus du même type appelé Petya avant de communiquer un rectificatif certifiant qu’il s’agissait là d’un nouveau virus jamais vu auparavant (d’où le nom « NotPetya »: Pas Petya) et indiquant qu’ils ne savaient si une clé de décryptage pourrait être conçue pour les  2000 ordinateurs infectés en quelques heures principalement dans la région russe et ukrainienne. A savoir qu’une poignée d’entreprises européennes et américaines ont signalé avoir eu maille à partir avec ce vilain malware. 

A l’heure actuelle, les experts débattent sur la nature et la véritable fonction de NotPetya. Alors qu’il se présente sous la forme d’un ransomware classique simulant un scanning du disque et cryptant les données présentes, agrémenté d’un charmant message vous signalant la chose et vous expliquant la méthode pour décrypter vos données en versant une « rançon » en bitcoin pour obtenir une clé, les différents experts travaillant sur le problème ont remarqué que l’adresse mail mentionnée pour réceptionner les preuves de paiements a été assez rapidement mise hors service, ce qui infirmerait la théorie du ransomware, et conforterait plutôt l’idée que ce virus a simplement été lancé sur le monde numérique pour y provoquer le chaos.

Le Kaspersky Lab étaye cette théorie par d’autres observations : le virus écraserait certaines données plutôt que de les crypter, la méthode de récupération de l’argent est fastidieuse et les hackers n’utilisent qu’un seul compte bitcoin pour recueillir les rançons, ce qui indique soit un certain amateurisme (ce que dément la complexité du virus), soit une motivation pécuniaire assez molle.

Les questions principales demeurent évidemment « qui? », et « pourquoi? ».

Update sur NotPetya/Petya (04/07/2017)

La vaste cyberattaque sur l’Europe au moyen du ransomware NotPetya / Petya a laissé dès le départ beaucoup d’experts perplexes, divers indices indiquant le manque de crédibilité quand aux motivations financières des auteurs comme indiqué plus haut.

L’OTAN vient de confirmer que cette attaque serait d’origine institutionnelle, c’est à dire produite ou soutenue par un état, tant elle a été finement organisée et qui plus est, onéreuse.

12000 appareils touchés par NotPetya dans 65 pays, seulement 3.99 bitcoins récoltés (+- 10.000 dollars au cours du bitcoin actuel), 30 % des cibles touchées étaient des entreprises du secteur de la finance tandis que la moitié des victimes étaient des organisations industrielles œuvrant dans le pétrole, le gaz, les transports, la logistique.

On a donc affaire à une démonstration de force attestant de la capacité de paralyser plutôt qu’à l’activité de cybercriminels. Aucun coupable n’a encore été formellement identifié, donc aucunes représailles ne sont encore envisagées bien que les Ukrainiens, première nation touchée la plus largement, accusent bien évidemment les Russes, vu le contexte politique tendu entre les deux nations.

Toutefois, si cette cyberattaque implique un état, cela pourrait être interprété comme un acte de guerre et donc mettre en branle l’application de l’Article 5 de l’OTAN, donc le principe fondamental est la défense collective face à une agression d’une telle ampleur.

Ces événements sont évidemment sans précédents, mais ne seront sans nul doute pas sans suites : la cyberguerre tant redoutée par les réalisateur et auteurs de science-fiction est bien en train de se dérouler.

Commentaires
Tags : #newsfeaturedhackingkasperskynotpetyapetyawannacry

GET YOUR EMAIL UPDATES

We send out our lovely email newsletter with useful tips and techniques, recent articles and upcoming events. Thousands of readers have signed up already. Get a free WordPress eBook now.
Email address