Petya/NotPetya serait un wiper déguisé en ransomware
Son objectif serait de supprimer irrévocablement les données de ses victimes

Le , par Michael Guilloux, Chroniqueur Actualités
Plusieurs experts en sécurité soutiennent que Petya/NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware. C’est-à-dire que son objectif est de détruire les données de ses victimes. L’analyse d’échantillons de son code source indique en effet que ce malware est destiné à supprimer de manière irrévocable les données de ses victimes et non de les restaurer après paiement de la rançon de 300 $ demandée.

Pour information, ce « faux » ransomware qui a tout de suite fait penser à WannaCry a commencé à semer la terreur ce mardi 27 juin. Se propageant comme un ver, Petya/NotPetya a infecté de nombreuses entreprises et organisations, notamment en Ukraine. Les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de la campagne mondiale du ransomware WannaCry. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.


Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données.

Kaspersky a analysé la routine de déchiffrement du nouveau malware et a découvert que l'acteur de la menace ne peut déchiffrer le disque des victimes, même si un paiement est effectué. Tout d'abord, il faut noter qu’afin de déchiffrer le disque de la victime, les attaquants ont besoin d’un ID d'installation fourni dans le message de demande de rançon. Dans les versions antérieures des ransomwares similaires (le cas de Petya notamment), cet ID d'installation contient des informations cruciales pour générer la clé de déchiffrement. Une fois cette information est envoyée à l'attaquant, il peut alors extraire la clé de déchiffrement. Dans le cas de Petya/NotPetya, l'ID affiché dans le message de demande de rançon est simplement une donnée aléatoire. « Cela signifie que l'attaquant ne peut pas extraire les informations de déchiffrement d'une telle chaîne générée de manière aléatoire affichée à la victime et, par conséquent, les victimes ne pourront déchiffrer aucun des disques chiffrés à l'aide de l'ID d'installation », explique Kaspersky.

D’après la firme de sécurité russe, « cela renforce la théorie selon laquelle l'objectif principal de l'attaque de [Petya/NotPetya] n'était pas motivé financièrement, mais était destructeur ».

Dans une autre analyse indépendante, Matt Suiche de Comae Technologies conclut que les développeurs de Petya/NotPetya ont simplement réécrit Petya de sorte que les données des victimes soient supprimées de manière irrévocable. Il découvre que le malware écrase expressément les 25 premiers blocs des disques des machines de ses victimes. Les « 24 blocs à la suite du premier bloc sont remplacés, ils ne sont pas lus ou enregistrés quelque part. Alors que la version originale de Petya lit correctement chaque bloc et les encode de manière réversible », explique Matt Suiche. Autrement dit, la version originale de Petya modifie le disque de manière à pouvoir rétablir ses modifications, alors que Petya/NotPetya inflige des dommages permanents et irréversibles au disque.

Dans un tweet, l’expert en sécurité de Comae Technologies affirme que « les ransomwares et hackers sont en train de devenir les boucs émissaires des attaquants [parrainés par des gouvernements]. » Il pense en effet que Petya/NotPetya est en fait « un leurre pour contrôler le récit médiatique, surtout après les incidents de WannaCry, pour attirer l'attention sur un groupe de pirates mystérieux plutôt que sur un attaquant [parrainé par un gouvernement] », comme cela a été le cas dans le passé avec des malwares similaires visant à détruire des données de certaines organisations. L’Ukraine majoritairement touchée serait donc la cible.

Sources : Kaspersky, Matt Suiche

Et vous ?

Que pensez-vous des analyses faites par Kaspersky et Matt Suiche ?

Voir aussi :

Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement, avec un outil de Kaspersky
Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins, suite à une attaque de ransomware Linux


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 29/06/2017 à 20:39
Comment dit-on en Russe "Vlad, arrête tes conneries stp ?"
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 02/07/2017 à 8:10
L’Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie
En s’appuyant sur des données de la firme ESET entre autres

Une semaine après que le wiper Petya/NotPetya a commencé à sévir, d’abord en Ukraine, puis de par le monde, les firmes de sécurité commencent à publier leurs analyses respectives du phénomène, ce qui lance la chasse aux sorcières dans ce nouveau feuilleton.

Se fondant sur une analyse toute récente de la firme de sécurité ESET entre autres, les services secrets ukrainiens viennent d’accuser la Russie d’avoir planifié et lancé cette nouvelle cyberattaque d’envergure mondiale.

Les analyses de la firme ESET et Kaspersky Lab notamment lient le wiper Petya/NotPetya aux activités d’un groupe de hackers qui opère depuis 2007. Les campagnes malicieuses attribuées à ce groupe ont tour à tour pris des noms comme Sandworm, TeleBots ou Black Energy particulièrement connue pour avoir plongé l’ouest de l’Ukraine dans le noir en décembre 2015.

KillDisk fait également partie de la longue liste de malwares dans l’arsenal de ce groupe. On sait qu’il a été conçu pour provoquer des pannes sur les réseaux électriques ukrainiens en 2015, probablement dans le dessein de saboter des systèmes industriels ou masquer les traces d’une cyberattaque.

Le plus intéressant à son sujet est le parallèle qu’il est possible d’établir avec le wiper Petya/NoPetya déguisé en ransomware. En décembre 2016, la firme de sécurité CyberX a découvert un échantillon de KillDisk déguisé en ransomware, une analyse confirmée par celle de la firme de sécurité ESET en janvier 2017. Le montant exigé par les hackers dans le cadre de ces campagnes indiquait clairement que l’utilisation du malware contre l’Ukraine avait uniquement des desseins destructeurs.

C’est d’ailleurs sur les similarités entre les infrastructures exploitées, les tactiques, les techniques, les procédures et surtout sur le choix de la victime que la firme ESET base sa récente analyse pour établir le lien entre le wiper Petya/NotPetya et les campagnes Sandworm, Black Energy et TeleBots entre autres.

« Il ne s’agit pas d’un incident isolé. Il s’agit de la dernière d’une longue série d’attaques similaires contre l’Ukraine », peut-on lire dans le rapport d’Anton Cherepanov de la firme ESET. Et d’ajouter que « ce groupe continue d’améliorer ses méthodes pour mener des attaques contre l’Ukraine. Avant cette vague d’attaques, le groupe en avait au secteur financier de ce pays. Celle-ci est plutôt dirigée contre des entreprises. Seulement, les hackers auraient sous-estimé les capacités de diffusion du malware. Raison pour laquelle il est devenu incontrôlable ».

Ainsi, pas d’attaque frontale de la firme de sécurité vis-à-vis d’un État. En matière de cybersécurité, les conclusions sont tirées avec la plus grande prudence. Il est simplement question d’un groupe que d’autres acteurs de la scène ont eu à lier à la Russie dans le cadre d’autres campagnes. Du point de vue du Service de sécurité ukrainien cependant, ces développements sont suffisants pour, sans détour, pointer un doigt accusateur sur la Russie.

Igor Mozorov, un membre de la Chambre haute du parlement russe, a qualifié les accusations de l’Ukraine contre la Russie de « fiction » et a ajouté que cette cyberattaque serait plutôt l’œuvre des Américains.

Source : Go, ESET

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Des pirates provoquent une nouvelle panne d'électricité en Ukraine, la campagne d'attaques a ciblé d'autres infrastructures sensibles
Avatar de Florian_PB Florian_PB - Membre averti https://www.developpez.com
le 03/07/2017 à 12:04
Là c'est une surprise pour pas grand monde que la Russie soit pointée du doigt, et encore moins que celle-ci désigne les américains. Bientôt une cyberguerre froide (même si elle a déjà commencée en réalité).
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 04/07/2017 à 8:39
Petya/NotPetya : erreur des experts d’ESET et Microsoft sur la cible initiale du wiper ?
La compagnie ukrainienne Intellect Service se dédouane

« Microsoft a maintenant des preuves que les infections par le ransomware sont dues au processus de mise à jour du logiciel MEDoc », peut-on lire sur le bulletin de sécurité de Microsoft – daté du 27 juin dernier – relatif au wiper Petya/NotPetya.

Du côté de la firme sécurité ESET, même son de cloche avec une déclaration similaire : « des attaquants ont compromis avec succès le logiciel comptable M.E.Doc populaire dans plusieurs industries en Ukraine dont celle du domaine des finances. »

« Plusieurs d’entre elles ont exécuté une mise à jour de M.E.Doc corrompue par un cheval de Troie, ce qui a permis aux attaquants de lancer cette campagne globale », ont ajouté les experts de la firme de sécurité ESET dans leur bulletin de sécurité daté du 27 juin.

La société ukrainienne Intellect Service développe le logiciel comptable M.E.Doc. Si l’on s’en tient aux chiffres dont Reuters s’est fait le relais, ce dernier fait partie du quotidien de 80 % d’entreprises ukrainiennes qui comptent pour 400 000 opérateurs sur ce logiciel, des chiffres qui, de l’avis des enquêteurs dont la police ukrainienne, font du logiciel comptable, la cible de choix pour atteindre le plus de victimes en une fois.

Ainsi, depuis le 27 juin, jour où le wiper a commencé à sévir, Sergei et Olesya Sinnik, fondateurs de l’entreprise familiale Intellect Service, qui développe le logiciel comptable, sont accusés d’être à l’origine de la propagation du wiper. Désormais des poursuites judiciaires les guettent d’après ce que rapporte Reuters lundi.

Serhiy Demeduyk, chef de la cyberpolice ukrainienne a en effet déclaré que « nous avons un souci avec l’équipe dirigeante de cette entreprise parce qu’elle était informée de l’infection du logiciel, mais n’a pris aucune disposition. En cas de confirmation des informations initiales en notre possession, des poursuites suivront. »

Au lendemain des attaques initiales du wiper, les fondateurs d’Intellect, déjà pilonnés de toutes parts, avaient déjà eu à réfuter toutes les allégations selon lesquelles leur logiciel est à l’origine de la propagation du wiper. Faisant suite aux toutes récentes menaces de poursuites judiciaires lancées par la cyberpolice ukrainienne, ils se sont à nouveau exprimés.

« Nous avons analysé notre produit et n’y avons découvert aucune trace d’infection. Les mises à jour, transmises bien avant que les cas d’infection ne soient signalés, ont été analysées et ne sont pas infectées », a déclaré Olesya Linnik, qui a ajouté que « la cyberpolice investigue actuellement sur les logs de nos serveurs et, jusqu’ici, rien n’indique que nos systèmes sont à l’origine de la propagation du malware. »

Si des doutes subsistent encore quant au vecteur initial de propagation – l’une des difficultés récurrentes en matière de cyberattaques – les dégâts du wiper pour leur part sont plus palpables. À ce jour, un minimum de 80 institutions – dont des institutions gouvernementales et des banques – a été touché.

Source : Reuters

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes
Avatar de pik_0fr pik_0fr - Nouveau membre du Club https://www.developpez.com
le 04/07/2017 à 9:27
Citation Envoyé par philou44300
Merci pour vos retours et effectivement Jipété je ne comprend pas aussi en quoi cela empêche de démarrer à partir d'un live cd. Je pense également que cela empêche de récupérer les données à partir d'un live cd car, comme expliqué par Grimly, cela doit chiffrer ce qui contient les emplacements des fichiers sur le disque dûr (mais je ne m'y connais pas assez dans ce domaine).
crypté la table NTFS c'est comme crypté le sommaire d'un livre et de dire où est le paragraphe sur tel chose. A part scanner le disque en entier c'est la galère. Il existe des outils pour reconstruire des tables mais le temps d'action est démentiel.

Et pour moi aussi, le cryptage de la table ne peut pas empêcher le boot sur liveCD ou USB (qui est géré par le Bios de la Carte Mère), mais la récupération. J'ai lu par contre que c'est un cryptage de la MBR qui oblige le reboot sur Petya donc si on est suffisamment rapide en réaction, lorsqu'il reboot la première fois on doit pouvoir sauver les données elles même, mais il faudra reconstitué la table NTFS. Au delà du premier reboot il crypte aussi les données.
Avatar de Coriolan Coriolan - Chroniqueur Actualités https://www.developpez.com
le 06/07/2017 à 19:48
NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire
Pour propager le malware

Le 27 juin, une nouvelle cyberattaque a pris par surprise les ordinateurs en Ukraine et du monde entier. Cette attaque s’est appuyée sur le malware Petya, un wiper déguisé en ransomware. Son objectif est de supprimer irrévocablement les données de ses victimes même après le paiement de la rançon de 300 $ demandée.

Selon la firme de sécurité Eset, des pirates de haut niveau ont compromis avec succès le logiciel de comptabilité M.E.Doc qui est très utilisé en Ukraine pour propager le malware. Les chercheurs en sécurité ont pu trouver une « porte dérobée » injectée par les attaquants dans l’un des modules officiels de M.E.Doc. Les pirates ont eu tout le temps nécessaire pour planifier leur attaque. En effet, le fichier ZvitPublishedObjects.dll contenant la faille a été livré aux utilisateurs de M.E.Doc depuis le 15 mai, soit six semaines avant le début de l’attaque NotPetya. En réalité, au moins trois mises à jour du logiciel avaient été publiées avec la porte dérobée depuis le 14 avril, un constat confirmé par la firme de sécurité Talos. Selon Eset, les pirates auraient eu un accès au code source de M.E.Doc depuis le début d’année.

« Comme le montre notre analyse, c’est une opération bien planifiée et bien exécutée, » a écrit Anton Cherepanov, chercheur en sécurité senior chez Eset. « Nous pensons que les attaquants ont eu accès au code source de M.E.Doc. Ils ont eu le temps d’étudier le code et incorporer une porte dérobée très furtive et astucieuse. Une installation complète de M.E.Doc a une taille de 1,5 GB et on n’a aucun moyen de vérifier qu’il y a d’autres backdoors qui ont été injectés. »

La police ukrainienne a saisi mardi les ordinateurs et les logiciels utilisés par Intellect Service, l’entreprise qui développe le logiciel comptable. Une vidéo publiée sur YouTube montre des agents de police lourdement armés en train d’investir les bureaux de l’entreprise et poser des questions aux employés. La police ukrainienne a préconisé à tous les utilisateurs du logiciel d’arrêter son utilisation et d’empêcher tous les ordinateurs avec une version installée de l'application d’accéder à Internet. Les autorités espèrent avec cette mesure contenir la propagation du malware et empêcher une nouvelle diffusion.

Depuis le début de l’attaque, les développeurs de M.E.Doc ont émis des communiqués contradictoires. Au début, ils ont informé que leurs serveurs ont été compromis, puis l’entreprise a dit qu’elle n’était pas impliquée dans cette attaque avant de déclarer qu’elle coopère désormais avec les enquêteurs. Le colonel Serhiy Demydiuk, le chef de la cyberpolice ukrainienne a informé Associated Press que l’entreprise qui développe le logiciel a une responsabilité pénale dans l’affaire. Il a en effet déclaré que « nous avons un souci avec l’équipe dirigeante de cette entreprise parce qu’elle était informée de l’infection du logiciel, mais n’a pris aucune disposition. En cas de confirmation des informations initiales en notre possession, des poursuites suivront. »

Sur sa page Facebook, la police ukrainienne a informé être parvenue à empêcher une autre attaque qui aurait dû avoir lieu le 4 juillet. Cette attaque s’appuie également sur le logiciel M.E.Doc comme point de départ. « L'attaque a été arrêtée. Les serveurs ont été retirés et portent des traces de l'impact des cybercriminels, agissant évidemment depuis la Fédération de Russie », a déclaré Arsen Avakov.

Les chercheurs essaient toujours de savoir comment Notpetya s’est propagé d’un ordinateur à un ordinateur dans les réseaux infectés. Mais dès le début, le mécanisme de mise à jour de M.E.Doc a été soupçonné comme étant l’élément compromis par les pirates pour infecter furtivement les utilisateurs avec le malware.

NotPetya a utilisé des exploits de Windows développés par la NSA. Les pirates les ont combinés avec des outils pour collecter des mots de passe à partir des ordinateurs infectés et utilisés pour le partage de fichiers dans les réseaux locaux. En conséquence, le malware a pu se propager seul et infecter de nombreuses entreprises et organisations en Ukraine et dans le monde entier. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.

Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données. Jusqu’à présent, les attaquants ont reçu au moins 13 260 dollars pour fournir une clé de déchiffrement des données.

Source : Eset

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres
Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes
Avatar de Coriolan Coriolan - Chroniqueur Actualités https://www.developpez.com
le 07/07/2017 à 22:09
NotPetya : Un groupe de cybercriminels prétend avoir la clé de déchiffrement
Et la met en vente contre 220 000 euros

Deux semaines après l’attaque NotPetya, le malware continue encore de faire parler de lui. Il était considéré comme un ransomware au début et les chercheurs en sécurité se sont rendu compte qu’il s’agit bel et bien d’un wiper conçu pour causer le plus de dégâts possible en Ukraine et dans les autres régions du monde où il s’est propagé. En effet, il était impossible pour les victimes de déchiffrer leurs fichiers infectés.

Seulement ce mercredi, un groupe de pirates est apparu sur la toile, ils mettent en vente ce qu’ils clament être une clé de déchiffrement des fichiers chiffrés par le malware NotPetya. Pour l’acquérir, il faudra débourser 100 bitcoins, soit l’équivalent de 220 000 euros.

Pour vérifier l'authenticité de leurs dires, des journalistes de Motherboard se sont dirigés vers le site Tor du groupe et sont entrés en contact avec l’un de ses membres pour déchiffrer un fichier chiffré via NotPetya. Le groupe est parvenu à déchiffrer le fichier de 200 kb, mais cela ne veut pas dire pour autant qu’il détient la clé de déchiffrement et qu’il ne s’agit pas d’une simple arnaque. Néanmoins, le fait qu’ils sont entrés en contact avec des journalistes et accepté de déchiffrer les fichiers montre qu’ils sont familiers avec le sujet.

« Pour être clair : les hackers ont seulement déchiffré un petit fichier pour Motherboard. Leur capacité à déchiffrer un seul fichier montre qu'ils sont connectés à l'attaque NotPetya, mais cela ne veut pas dire qu'ils seront en mesure de déchiffrer des fichiers en masse », a écrit Motherboard. Par la suite, Motherboard a tenté d'envoyer un autre fichier, mais les hackers n'ont pas répondu à l'appel, un constat partagé par d'autres journalistes sur Twitter.

Certains chercheurs en sécurité pensent que même avec la clé de déchiffrement, il ne sera toujours pas possible de récupérer la totalité des fichiers chiffrés par le malware. Ils ont en effet découvert des bogues empêchant le déchiffrement de fichiers de plus de 1 MB. De plus, NotPetya tente également de chiffrer la MFT (Master File Table) qui se trouve des fois détruite par le malware, et donc impossible de la récupérer. Même si la clé de déchiffrement s’avère fonctionnelle, difficile de voir les victimes tenter de l’acquérir vu que le prix demandé est exorbitant et constitue une somme trop importante pour la plupart des victimes.

L’auteur de Petya rend disponible la clé de déchiffrement de toutes les variantes officielles du malware

Petya est l’un des malwares les plus dévastateurs, plus dangereux encore que Locky. ce ransomware ne se contente pas de prendre en otage les fichiers des victimes seulement, puisqu’il procède ensuite à chiffrer la MFT (Master File table) et remplace la zone d'amorçage (Master boot record) du disque dur de la victime par un programme qui réclame de l'argent en échange de la clé de déchiffrement.

Après que Petya et ses variantes ont ravagé les données dans le monde entier, l’auteur du malware original a rendu disponible la clé de déchiffrement principale pour toutes les variantes « officielles » de Petya (ce qui veut dire que NotPetya n’est pas inclus dans la liste). La clé a été publiée par Janus Cybercrime Solutions. Si Petya a été déjà craqué, la clé offre un moyen de déchiffrement plus rapide et plus efficace.

L’authenticité de la clé publiée sur un tweet par Janus a été vérifiée, après que le chercheur de sécurité Hasherzade de Malwarerebytes est parvenu à cracker le fichier chiffré partagé par Janus sur le site de stockage Mega. Un autre chercheur de Kaspersky a également pu tester et confirmer la validité de la clé de déchiffrement.

Le chercheur en sécurité Janus a informé en juin qu’il va examiner NotPetya pour voir s’il est possible de déchiffrer les fichiers. Pour le moment, il n’a toujours rien signalé.

Cette clé ne servira à rien pour les victimes de NotPetya puisque ce malware a été créé en piratant le ransomware Petya, en effet, les cybercriminels ont lourdement modifié les caractéristiques du ransomware pour l’adapter à leurs besoins. En conséquence, NotPetya utilise une autre routine de chiffrement et a été décrit comme n’ayant aucune connexion avec Petya.

Source : Motherboard

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire pour propager le malware
Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres
Avatar de walloon walloon - Candidat au Club https://www.developpez.com
le 22/07/2017 à 9:54
Offres d'emploi IT
Ingénieur études et développement java H/F
BMarkets - Ile de France - Paris (75008)
Consultant / expert produit h/f
Ivalua - Ile de France - Orsay (91400)
Ingénieur réseaux (h/f)
Atos - Midi Pyrénées - Toulouse (31000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil