NotPetya : un groupe de cybercriminels prétend avoir la clef de déchiffrement
Et la met en vente contre 220 000 euros

Le , par Coriolan, Chroniqueur Actualités
Deux semaines après l’attaque NotPetya, le malware continue encore de faire parler de lui. Il était considéré comme un ransomware au début et les chercheurs en sécurité se sont rendu compte qu’il s’agit bel et bien d’un wiper conçu pour causer le plus de dégâts possible en Ukraine et dans les autres régions du monde où il s’est propagé. En effet, il était impossible pour les victimes de déchiffrer leurs fichiers infectés.

Seulement ce mercredi, un groupe de pirates est apparu sur la toile, ils mettent en vente ce qu’ils clament être une clé de déchiffrement des fichiers chiffrés par le malware NotPetya. Pour l’acquérir, il faudra débourser 100 bitcoins, soit l’équivalent de 220 000 euros.

Pour vérifier l'authenticité de leurs dires, des journalistes de Motherboard se sont dirigés vers le site Tor du groupe et sont entrés en contact avec l’un de ses membres pour déchiffrer un fichier chiffré via NotPetya. Le groupe est parvenu à déchiffrer le fichier de 200 kb, mais cela ne veut pas dire pour autant qu’il détient la clé de déchiffrement et qu’il ne s’agit pas d’une simple arnaque. Néanmoins, le fait qu’ils sont entrés en contact avec des journalistes et accepté de déchiffrer les fichiers montre qu’ils sont familiers avec le sujet.

« Pour être clair : les hackers ont seulement déchiffré un petit fichier pour Motherboard. Leur capacité à déchiffrer un seul fichier montre qu'ils sont connectés à l'attaque NotPetya, mais cela ne veut pas dire qu'ils seront en mesure de déchiffrer des fichiers en masse », a écrit Motherboard. Par la suite, Motherboard a tenté d'envoyer un autre fichier, mais les hackers n'ont pas répondu à l'appel, un constat partagé par d'autres journalistes sur Twitter.

Certains chercheurs en sécurité pensent que même avec la clé de déchiffrement, il ne sera toujours pas possible de récupérer la totalité des fichiers chiffrés par le malware. Ils ont en effet découvert des bogues empêchant le déchiffrement de fichiers de plus de 1 MB. De plus, NotPetya tente également de chiffrer la MFT (Master File Table) qui se trouve des fois détruite par le malware, et donc impossible de la récupérer. Même si la clé de déchiffrement s’avère fonctionnelle, difficile de voir les victimes tenter de l’acquérir vu que le prix demandé est exorbitant et constitue une somme trop importante pour la plupart des victimes.

L’auteur de Petya rend disponible la clé de déchiffrement de toutes les variantes officielles du malware

Petya est l’un des malwares les plus dévastateurs, plus dangereux encore que Locky. ce ransomware ne se contente pas de prendre en otage les fichiers des victimes seulement, puisqu’il procède ensuite à chiffrer la MFT (Master File table) et remplace la zone d'amorçage (Master boot record) du disque dur de la victime par un programme qui réclame de l'argent en échange de la clé de déchiffrement.

Après que Petya et ses variantes ont ravagé les données dans le monde entier, l’auteur du malware original a rendu disponible la clé de déchiffrement principale pour toutes les variantes « officielles » de Petya (ce qui veut dire que NotPetya n’est pas inclus dans la liste). La clé a été publiée par Janus Cybercrime Solutions. Si Petya a été déjà craqué, la clé offre un moyen de déchiffrement plus rapide et plus efficace.

L’authenticité de la clé publiée sur un tweet par Janus a été vérifiée, après que le chercheur de sécurité Hasherzade de Malwarerebytes est parvenu à cracker le fichier chiffré partagé par Janus sur le site de stockage Mega. Un autre chercheur de Kaspersky a également pu tester et confirmer la validité de la clé de déchiffrement.

Le chercheur en sécurité Janus a informé en juin qu’il va examiner NotPetya pour voir s’il est possible de déchiffrer les fichiers. Pour le moment, il n’a toujours rien signalé.

Cette clé ne servira à rien pour les victimes de NotPetya puisque ce malware a été créé en piratant le ransomware Petya, en effet, les cybercriminels ont lourdement modifié les caractéristiques du ransomware pour l’adapter à leurs besoins. En conséquence, NotPetya utilise une autre routine de chiffrement et a été décrit comme n’ayant aucune connexion avec Petya.

Source : Motherboard

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

NotPetya : les attaquants ont incorporé une porte dérobée dans un logiciel comptable très populaire pour propager le malware
Petya/NotPetya : erreur des experts d'ESET et Microsoft sur la cible initiale du wiper ? La compagnie ukrainienne Intellect Service se dédouane
L'Ukraine attribue la paternité du wiper Petya/NotPetya à la Russie en s'appuyant sur des données de la firme ESET entre autres


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de walloon walloon - Candidat au Club https://www.developpez.com
le 22/07/2017 à 9:54
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 04/08/2017 à 14:15
L’entreprise dont les serveurs ont été compromis pour propager NotPetya menacée par un procès
pour avoir négligé sa sécurité informatique

Juscutum Attorneys Association, un cabinet d'avocats ukrainien, appelle les victimes de NotPetya à se joindre à un recours collectif contre Intellect-Service LLC, la société derrière le logiciel de comptabilité M.E.Doc, qui a servi de point de départ dans la propagation du ransomware NotPetya.

La propagation du ransomware a été en fait causée par une mise à jour malveillante du logiciel M.E.Doc, un logiciel de comptabilité populaire utilisé par les entreprises ukrainiennes. Selon plusieurs rapports de Cisco Talos, ESET, Kaspersky Lab et Microsoft entre autres, un attaquant a pu compromettre le mécanisme de mise à jour logicielle sur les serveurs de M.E.Doc et fournir une mise à jour malveillante aux utilisateurs du logiciel de comptabilité. Lorsque la mise à jour a atteint les clients de M.E.Doc, le paquet logiciel corrompu a livré le ransomware NotPetya.

Le fournisseur ukrainien de logiciels a d'abord émis un avis de sécurité dans lequel il a reconnu que ses serveurs ont été compris. Mais quelques heures plus tard, alors que le malware se propageait à toute l'Ukraine et dans d'autres pays à travers le monde en causant d'énormes dégâts irréparables, Intellect-Service a refusé d'admettre que ce sont ses serveurs qui avaient permis le déploiement de NotPetya.

Toutefois, selon les chercheurs en sécurité, ce n'est pas la première fois que M.E.Doc a mené une mise à jour logicielle malveillante qui a livré un ransomware. Une enquête ultérieure a révélé que la société Intellect-Service avait mal géré les serveurs piratés, lesquels ont été laissés sans mise à jour depuis 2013 et ont été compromis avec des portes dérobées à plusieurs reprises. Le chercheur de la firme de sécurité ESET, Anton Cherepanov, a découvert qu'un groupe de cyberespionnage connu sous le nom de TeleBots avait compromis trois fois les serveurs d'Intellect-Service et utilisé le même mécanisme de mise à jour M.E.Doc pour livrer trois familles de ransomware différentes : XData, un clone de WannaCry, et NotPetya ; le dernier s'étant fait particulièrement remarquer par l'ampleur de ses dégâts.

La police ukrainienne a saisi les ordinateurs et les logiciels utilisés par Intellect Service et préconisé à tous les clients de la société d’arrêter d'utiliser le logiciel compromis, en veillant également à ce que les ordinateurs avec une version installée de l'application n'accèdent pas à Internet. En ce moment-là, le chef de la cyberpolice ukrainienne a averti que l’entreprise a une responsabilité pénale dans l’affaire. Il a en effet déclaré qu'il y avait « un souci avec l’équipe dirigeante de cette entreprise parce qu’elle était informée de l’infection du logiciel, mais n’a mis en place aucune disposition. » Ainsi, en cas de confirmation des conclusions des firmes de sécurité, des poursuites seront lancées contre la société. Le mardi, la police cybernétique ukrainienne a confirmé, dans un document officiel, que les serveurs M.E.Doc ont bien été compromis avec des portes dérobées à trois reprises.

Le cabinet d'avocats utilise donc maintenant ce document comme principal moteur de ses actions en justice. À travers les médias sociaux et la presse ukrainienne, Juscutum appelle les victimes à se joindre à un recours collectif en justice contre l’éditeur de M.E.Doc. Ce sont toutefois les victimes qui devront payer tous les frais de justice. Elles devront également fournir des preuves ou aider à recueillir des éléments de preuve pour permettre à Juscutum de défendre l’affaire en justice. En contrepartie, les victimes devront accepter un prélèvement de 30 % sur les dommages et intérêts qui leur seront versés en cas de succès.

Source : Vice

Et vous ?

Que pensez-vous de l’idée de poursuivre en justice les entreprises qui compromettent la sécurité de leurs clients à cause d’une négligence de leur sécurité informatique ?
Avatar de spawntux spawntux - Membre confirmé https://www.developpez.com
le 04/08/2017 à 17:31
Bonjour,

En résumé on a un cabinet d'avocat qui tente de se faire du fric à droite et a gauche .

Tip top tout ca

 
Contacter le responsable de la rubrique Accueil