#NotPetya : une attaque massive maquillée en rançongiciel ?

Et si celui que l’on appelle NotPetya, ExPetr, Nyetya, ou encore GoldenEye et Petrwrap, n’était pas le rançongiciel qu’il donne l’apparence d’être ? La question semble aujourd’hui bien plus que justifiée.

Et cela commence par le volet financier de l’opération. Bogdan Botezatu, de Bitdefender, relève ainsi que les opérateurs du logiciel malveillant ont « utilisé un fournisseur de services de messagerie électronique classique et faillible comme canal de communication. C’est un choix bien médiocre pour une entreprise qui cherche à maximiser les gains financiers ».

De fait, NotPetya ne comporte pas de mécanisme de communication avec des serveurs de commande et de contrôle. Et l’adresse e-mail des attaquants a été bloquée par le prestataire utilisé, Posteo, dans la journée de mardi 27 juin. 

Do not pay the #Petya ransom. You will not get your files back. The email address used is blocked! @SwiftOnSecurity @thegrugq pic.twitter.com/NOzxLz0vul

— haveibeencompromised (@HIBC2017) June 27, 2017

Certains experts soulignent également la complexité retenue par les attaquants pour le règlement : les victimes devaient fournir, par e-mail, une longue clé hexadécimale afin d’espérer obtenir la clé de déchiffrement de leurs données. « Quelque chose qu’une victime novice en informatique a peu de chances de faire correctement », relève l’expert The Grugq.

Bogdan Botezatu ne dit pas autre chose : « normalement, les campagnes de ransomware conçues pour générer des bénéfices considérables ont un degré d'automatisation qui rend le processus de paiement facile et sécurisé, presque au niveau de celui des banques en ligne. Ici, nous avons affaire à un désordre total en termes de convivialité ».

Alors pour certains, c’est bien simple, « le processus de paiement ressemble à de la merde, comme pour WannaCry. Sont-ils réellement motivés financièrement ? »

Similar to WannaCry, the payment process of #Petya looks like shit. Are they really financially motivated? 🤔 #ransomware

— x0rz (@x0rz) June 27, 2017

The Grugq va plus loin : pour lui NotPetya « n’a pas été conçu pour faire de l’argent. Ceci a été conçu pour se répandre rapidement et faire des dégâts, avec pour couverture en déni plausible, le ransomware ».

Mais un autre point interpelle : les types de fichiers chiffrés par NotPetya. Ils sont une soixantaine, contre plus d’une centaine pour le véritable Petya. Et ils affichent une orientation bien plus professionnelle que grand public : documents bureautiques, messages électroniques, fichiers de modélisation 3D, archives, codes sources, fichiers de configuration, ou encore images disques et de machines virtuelles. Mais par exemple pas de photos ni de fichiers PNG ou GIF, qui seraient pourtant plus adaptés pour toucher efficacement les particuliers.

Il y a aussi le point de départ de la diffusion du logiciel malveillant : une mise à jour corrompue d'un logiciel de compatabilité très répandu en Ukraine, MEDoc. Bitdefender vient à son tour d'en apporter la confirmation. Pour l'éditeur, le pays est bien le point de départ de la propagation « à travers les réseaux VPN, des sièges d'entreprises aux autres succursales et filiales ». Et vice-versa.

Et puis il y a la date : la veille du jour de la constitution en Ukraine. De quoi améliorer l’efficacité de l’opération en profitant de ce jour férié, où les effectifs informatiques sont probablement moins nombreux qu’à la normale. Nicholas Weaver, de l’université de Berkeley, ne se fait pas de doute : pour lui, l’attaque apparaît conduite délibérément contre l’Ukraine, sous le seul « déguisement » du ransomware.

Now I really wonder who wants to hurt Ukraine THAT bad 🤔🙄 https://t.co/jOeKqAExCv

— x0rz (@x0rz) June 28, 2017

Enfin, Costin Raiu, de Kaspersky, vient de révéler qu’ExPetr a également été distribué par un point de eau (waterhole), un site Web ukrainien compromis. Alors pour le chercheur x0rz, la question est désormais de savoir « qui veut frapper l’Ukraine à ce point ».