Et si NotPetya n’était pas un ransomware ? Et s’il s’agissait d’une couverture pour un programme ayant pour seul but de détruire des données d’entreprises et de provoquer le chaos ? C’est la thèse explorée par de plus en plus de sociétés de cybersécurité.
NotPetya, ExPetr, PetrWrap, Petya… Le programme malveillant qui a frappé l’Ukraine et l’Europe, puis le reste du monde, porte autant de noms qu’il existe de théories à son sujet. Mais on commence à y voir plus clair. L’hypothèse M.E.Doc se confirme, après la perquisition mercredi des locaux de l’éditeur du logiciel de compta, Intellect Service, par la police ukrainienne. Plusieurs serveurs ont vraisemblablement été saisis.
Talos décrit sur son blog le mode opératoire de l’infection et l’implication de cette société ukrainienne. Selon la filiale sécurité de Cisco, les attaquants ont utilisé des identifiants volés à Intellect Service pour accéder à leurs infrastructures et « manipuler le serveur de mise à jour pour M.E.Doc pour transférer des connexions vers un serveur contrôlé par [eux] ».
Destruction de blocs
Utilisant la mise à jour de ce logiciel revendiquant un million d’utilisateurs pour la seule Ukraine, NotPetya a pu être déployé et infecter simultanément de nombreuses entreprises. Mais là une nouvelle question se pose : s’agit-il d’un ransomware ? D’abord présenté comme tel, le programme malveillant était peut-être d’une toute autre nature. Selon quelques experts, NotPetya est en réalité un wiper, un programme conçu pour détruire ou rendre définitivement inaccessibles des données.
C’est la thèse privilégiée par Comae. Dans un post, le chercheur Matthieu Suiche pointe une différence majeure entre le ransomware Petya de 2016 et le NotPetya de 2017. Si le premier modifiait le disque de manière à pouvoir chiffrer et déchiffrer les données, le second va écraser un certain nombre de blocs sectoriels du disque. Toutefois ces blocs sont généralement inutilisés sur la plupart des machines. Petya viserait-il des cas particuliers ou bien s’agit-il d’une vulgaire erreur de programmation ?
Pas de clé de déchiffrement
Mais une autre expertise va dans le sens de la théorie « wiper ». On se rappellera que l’adresse mail utilisé par les attaquants avait été bloquée dans les premières heures de la propagation du ransomware, sans que cela semble grandement le perturber. Normal, répond Kaspersky, quand bien même ils auraient obtenu moult rançons, les auteurs de NotPetya auraient été bien incapables de fournir une clé de déchiffrement.
L’identifiant d’installation, indispensable à l’obtention de la clé, n’est en fait, selon l’éditeur russe, qu’un amas de caractères généré aléatoirement, d’où il est impossible de retirer la moindre information permettant de déchiffrer le disque. « Ce que cela signifie ? D’une part, même si la victime paie, elle ne récupérera pas ses données. Deuxièmement, cela renforce la théorie selon laquelle le principal objectif d’ExPetr n’était pas financier, mais bien destructeur ».
Des erreurs de code ?
Du côté de F-Secure cependant, on remet en cause cette théorie. Comae et Kaspersky reconnaissent tous deux que leurs découvertes peuvent être des erreurs dans la programmation de NotPetya, des bugs. F-Secure va plus loin en estimant que NotPetya n’est pas un wiper. « Quelle serait l’utilité d’un outil pratiquant une stratégie de terre brûlée de manière indiscriminée » s’interroge Sean Sullivan. Cette impossibilité de déchiffrement ainsi que la destruction de partition s’expliqueraient, selon la société spécialisée en cybersécurité, par le fait que la version de NotPetya qui a fait parler d’elle la semaine dernière n’est en fait qu’une ébauche d’un ransomware totalement fonctionnel.
Pour en savoir plus sur les conséquences de NotPetya et sur les moyens de se prémunir contre ce type d’attaque, L’Informaticien organise un webinaire spécial "L'1FO LE DIRECT-IT" mardi 11 juillet à 11h. Posez vos questions aux experts ! Inscription gratuite via ce lien.