Petya/NotPetya serait un wiper déguisé en ransomware
Son objectif serait de supprimer irrévocablement les données de ses victimes
Le 2017-06-29 18:47:18, par Michael Guilloux, Chroniqueur Actualités
Plusieurs experts en sécurité soutiennent que Petya/NotPetya ne serait rien d’autre qu’un wiper déguisé en ransomware. C’est-à-dire que son objectif est de détruire les données de ses victimes. L’analyse d’échantillons de son code source indique en effet que ce malware est destiné à supprimer de manière irrévocable les données de ses victimes et non de les restaurer après paiement de la rançon de 300 $ demandée.
Pour information, ce « faux » ransomware qui a tout de suite fait penser à WannaCry a commencé à semer la terreur ce mardi 27 juin. Se propageant comme un ver, Petya/NotPetya a infecté de nombreuses entreprises et organisations, notamment en Ukraine. Les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de la campagne mondiale du ransomware WannaCry. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.
Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données.
Kaspersky a analysé la routine de déchiffrement du nouveau malware et a découvert que l'acteur de la menace ne peut déchiffrer le disque des victimes, même si un paiement est effectué. Tout d'abord, il faut noter qu’afin de déchiffrer le disque de la victime, les attaquants ont besoin d’un ID d'installation fourni dans le message de demande de rançon. Dans les versions antérieures des ransomwares similaires (le cas de Petya notamment), cet ID d'installation contient des informations cruciales pour générer la clé de déchiffrement. Une fois cette information est envoyée à l'attaquant, il peut alors extraire la clé de déchiffrement. Dans le cas de Petya/NotPetya, l'ID affiché dans le message de demande de rançon est simplement une donnée aléatoire. « Cela signifie que l'attaquant ne peut pas extraire les informations de déchiffrement d'une telle chaîne générée de manière aléatoire affichée à la victime et, par conséquent, les victimes ne pourront déchiffrer aucun des disques chiffrés à l'aide de l'ID d'installation », explique Kaspersky.
D’après la firme de sécurité russe, « cela renforce la théorie selon laquelle l'objectif principal de l'attaque de [Petya/NotPetya] n'était pas motivé financièrement, mais était destructeur ».
Dans une autre analyse indépendante, Matt Suiche de Comae Technologies conclut que les développeurs de Petya/NotPetya ont simplement réécrit Petya de sorte que les données des victimes soient supprimées de manière irrévocable. Il découvre que le malware écrase expressément les 25 premiers blocs des disques des machines de ses victimes. Les « 24 blocs à la suite du premier bloc sont remplacés, ils ne sont pas lus ou enregistrés quelque part. Alors que la version originale de Petya lit correctement chaque bloc et les encode de manière réversible », explique Matt Suiche. Autrement dit, la version originale de Petya modifie le disque de manière à pouvoir rétablir ses modifications, alors que Petya/NotPetya inflige des dommages permanents et irréversibles au disque.
Dans un tweet, l’expert en sécurité de Comae Technologies affirme que « les ransomwares et hackers sont en train de devenir les boucs émissaires des attaquants [parrainés par des gouvernements]. » Il pense en effet que Petya/NotPetya est en fait « un leurre pour contrôler le récit médiatique, surtout après les incidents de WannaCry, pour attirer l'attention sur un groupe de pirates mystérieux plutôt que sur un attaquant [parrainé par un gouvernement] », comme cela a été le cas dans le passé avec des malwares similaires visant à détruire des données de certaines organisations. L’Ukraine majoritairement touchée serait donc la cible.
Sources : Kaspersky, Matt Suiche
Et vous ?
Que pensez-vous des analyses faites par Kaspersky et Matt Suiche ?
Voir aussi :
Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement, avec un outil de Kaspersky
Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins, suite à une attaque de ransomware Linux
Pour information, ce « faux » ransomware qui a tout de suite fait penser à WannaCry a commencé à semer la terreur ce mardi 27 juin. Se propageant comme un ver, Petya/NotPetya a infecté de nombreuses entreprises et organisations, notamment en Ukraine. Les machines de ses victimes ont été infectées en utilisant les vulnérabilités déjà exploitées par les pirates lors de la campagne mondiale du ransomware WannaCry. Petya/NotPetya chiffre les fichiers uniquement sur les lecteurs fixes de l’ordinateur en utilisant des algorithmes AES-128. Il faut également noter qu’une clé est créée pour chaque disque. Le malware va aussi chiffrer le MFT (Master File Table), et dès que le chiffrement est terminé, il affiche la demande de rançon.
Il semble toutefois que ça ne servira à rien aux victimes d’essayer de payer les rançons. Des analyses séparées de Kaspersky et de la firme de sécurité Comae Technologies ont en effet abouti à une même conclusion : Petya/NotPetya ne semble pas intéressé par l’argent de ses victimes. Il veut tout simplement détruire leurs données.
Kaspersky a analysé la routine de déchiffrement du nouveau malware et a découvert que l'acteur de la menace ne peut déchiffrer le disque des victimes, même si un paiement est effectué. Tout d'abord, il faut noter qu’afin de déchiffrer le disque de la victime, les attaquants ont besoin d’un ID d'installation fourni dans le message de demande de rançon. Dans les versions antérieures des ransomwares similaires (le cas de Petya notamment), cet ID d'installation contient des informations cruciales pour générer la clé de déchiffrement. Une fois cette information est envoyée à l'attaquant, il peut alors extraire la clé de déchiffrement. Dans le cas de Petya/NotPetya, l'ID affiché dans le message de demande de rançon est simplement une donnée aléatoire. « Cela signifie que l'attaquant ne peut pas extraire les informations de déchiffrement d'une telle chaîne générée de manière aléatoire affichée à la victime et, par conséquent, les victimes ne pourront déchiffrer aucun des disques chiffrés à l'aide de l'ID d'installation », explique Kaspersky.
D’après la firme de sécurité russe, « cela renforce la théorie selon laquelle l'objectif principal de l'attaque de [Petya/NotPetya] n'était pas motivé financièrement, mais était destructeur ».
Dans une autre analyse indépendante, Matt Suiche de Comae Technologies conclut que les développeurs de Petya/NotPetya ont simplement réécrit Petya de sorte que les données des victimes soient supprimées de manière irrévocable. Il découvre que le malware écrase expressément les 25 premiers blocs des disques des machines de ses victimes. Les « 24 blocs à la suite du premier bloc sont remplacés, ils ne sont pas lus ou enregistrés quelque part. Alors que la version originale de Petya lit correctement chaque bloc et les encode de manière réversible », explique Matt Suiche. Autrement dit, la version originale de Petya modifie le disque de manière à pouvoir rétablir ses modifications, alors que Petya/NotPetya inflige des dommages permanents et irréversibles au disque.
Dans un tweet, l’expert en sécurité de Comae Technologies affirme que « les ransomwares et hackers sont en train de devenir les boucs émissaires des attaquants [parrainés par des gouvernements]. » Il pense en effet que Petya/NotPetya est en fait « un leurre pour contrôler le récit médiatique, surtout après les incidents de WannaCry, pour attirer l'attention sur un groupe de pirates mystérieux plutôt que sur un attaquant [parrainé par un gouvernement] », comme cela a été le cas dans le passé avec des malwares similaires visant à détruire des données de certaines organisations. L’Ukraine majoritairement touchée serait donc la cible.
Sources : Kaspersky, Matt Suiche
Et vous ?
Voir aussi :
-
marsupialExpert éminentQuelle bande d'escrocs ces assureurs !le 04/02/2019 à 8:55
-
marsupialExpert éminentComment dit-on en Russe "Vlad, arrête tes conneries stp ?"le 29/06/2017 à 20:39
-
spawntuxMembre confirméBonjour,
En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche.
Tip top tout cale 04/08/2017 à 17:31 -
MadmacMembre extrêmement actifIl faut-être culotté pour présumer des motifs des auteur, sans les connaître. Mais pour éviter de devoir payer 100 millions, j'essayerais aussi de vendre ce type de pommade.le 03/02/2019 à 20:21
-
Florian_PBMembre avertiLà c'est une surprise pour pas grand monde que la Russie soit pointée du doigt, et encore moins que celle-ci désigne les américains. Bientôt une cyberguerre froide (même si elle a déjà commencée en réalité).le 03/07/2017 à 12:04
-
pik_0frNouveau membre du Club
Envoyé par philou44300
Et pour moi aussi, le cryptage de la table ne peut pas empêcher le boot sur liveCD ou USB (qui est géré par le Bios de la Carte Mère), mais la récupération. J'ai lu par contre que c'est un cryptage de la MBR qui oblige le reboot sur Petya donc si on est suffisamment rapide en réaction, lorsqu'il reboot la première fois on doit pouvoir sauver les données elles même, mais il faudra reconstitué la table NTFS. Au delà du premier reboot il crypte aussi les données.le 04/07/2017 à 9:27 -
walloonCandidat au Cluble 22/07/2017 à 9:54
-
gangsoleilModérateurL'attitude de l'assureur ne m'étonne pas : pour le moment, ce genre de risques n'est pas directement pris en compte dans les barêmes des assurances, et il est donc assez logique qu'ils refusent de payer en se disant que s'ils payent ici, c'est la porte ouverte à d'autres règlements.
Il est probable qu'on voit les primes d'assurance augmenter si ce risque doit être couvert.le 05/02/2019 à 12:27 -
CoderInTheDarkMembre émériteIl me vient une pensée d'un grand penseur, qui aimait les français
Al Bundy (Maried with children)
"
* Insurance is like marriage.
You pay and pay but you never get anything back."le 06/02/2019 à 15:29