Grafvision - Fotolia
#NotPetya : sous l’apparence du ransomware, un logiciel destructeur
Le vernis, déjà entamé par les doutes sur la nature financière de la motivation, a fini par céder. Le logiciel malveillant qui se propage rapidement à travers le monde depuis ce mardi 27 juin n’est qu’un ver destructeur.
Celui que l’on appelle NotPetya, ExPetr, Nyetya, ou encore GoldenEye, n’est pas le rançongiciel qu’il donne l’apparence d’être. La question de la nature véritablement financière de l’opération avait été rapidement soulevée par plusieurs experts. Le doute n’est aujourd’hui plus permis, selon Kaspersky et Comae Technologies.
Chez le premier, Anton Ivanov et Orkhan Mamedov expliquent ainsi que même si la victime payait la somme demandée et parvenaient à entrer en contact avec les opérateurs d’ExPetr, ces derniers ne pourraient pas fournir de clé de déchiffrement. Et cela commence avec l’identifiant d’installation du logiciel malveillant : celui qui est présenté à la victime « n’est que données aléatoires » : « l’attaquant ne peut pas retirer d’informations de déchiffrement d’une telle chaîne générée aléatoirement ». Chez Avast, Ladislav Zezula relève en outre qu’un bogue dans les mécanismes de chiffrement de NotPetya « pourrait laisser certains fichiers endommagés et indéchiffrables ».
Update on #Petya/#ExPetr: it wasn't #ransomware for financial gain. It was a wiper *pretending* to be ransomware -> https://t.co/WYOhlqIArb pic.twitter.com/TYEn7zlupn
— Eugene Kaspersky (@e_kaspersky) June 29, 2017
Plus tôt, l’expert The Grugq estimait déjà que NotPetya « n’a pas été conçu pour faire de l’argent. Ceci a été conçu pour se répandre rapidement et faire des dégâts, avec pour couverture en déni plausible, le ransomware ». Chez Comae Technologies, Matthieu Suiche estime lui également que NotPetya n’est qu’un ver destructeur maquillé en ransomware. Son analyse du code l’amène ainsi à juger que ce logiciel malveillant « endommage le disque de manière définitive et irréversible ».
Il conviendrait donc de le ranger dans la catégorie des wipers aux côtés de Destover, qui a été à l’œuvre chez Sony Pictures fin 2014, ou encore Shamoon, revenu en deux vagues à l’automne dernier, voire StoneDrill, sur lequel Kaspersky a levé le voile au mois de mars.
Ransomwares and hackers are becoming the scapegoats of nation state attackers. Petya is a wiper not a ransomware.https://t.co/lkrfWMw2Zl
— Matthieu Suiche (@msuiche) June 28, 2017
Ses conclusions sont sans appel : « nous pensons que le rançongiciel était en fait un leurre pour contrôler le récit des médias, tout particulièrement après l’incident WannaCry, pour attirer l’attention sur quelque mystérieux groupe de pirates plutôt que sur un attaquant de type état-nation ». Et d’ajouter sur Twitter que « les pirates et les ransomwares deviennent les boucs-émissaires des attaquants état-nation ».
MalwareTech conteste certains éléments de l’analyse technique de Matthieu Suiche, mais sans remettre en cause ses conclusions sur les objectifs de l’opération : il s’agissait de faire des dégâts, pas de gagner de l’argent. Et de s’interroger : « pourquoi l’avoir fait de manière si évidente ? »
Now I really wonder who wants to hurt Ukraine THAT bad 🤔🙄 https://t.co/jOeKqAExCv
— x0rz (@x0rz) June 28, 2017
Ce mercredi 28 juin, Nicholas Weaver, de l’université de Berkeley, estimait déjà que NotPetya constituait une attaque conduite délibérément contre l’Ukraine, sous le seul « déguisement » du ransomware. Et le chercheur x0rz se posait la question : « qui veut frapper l’Ukraine à ce point ». Notamment après les attaques répétées contre ses infrastructures électriques. Mais c’est sans compter avec le rançongiciel XData qui a sévi en Ukraine au mois de mai. Les infrastructures de l’éditeur du logiciel comptable MeDoc avaient déjà été compromises pour le propager. Et à cela, il convient également d’ajouter PSCrypt, un ransomware apparu il y a une semaine qui affecte essentiellement… l’Ukraine.