Petya ransomware: une attaque financée ou non par l'État

Une attaque de ransomware généralisée baptisée Petya / Petrwrap, ressemblant beaucoup aux attaques de WannaCry plus tôt ce mois-ci avait frappé des machines en Espagne, en France, en Ukraine, en Russie et dans quelques autres pays mardi, mais l'impact le plus fort de l'attaque a été ressenti en Ukraine, où un certain nombre d'organisations gouvernementales et du secteur privé ont été touchées.

Plus tard le même jour, le compte de courrier électronique des hackers, qui était la clé pour déchiffrer les appareils affectés, a été désactivé par la société de messagerie Posteo, ce qui a provoqué un tollé, car les utilisateurs affectés ne pourront pas recevoir la clé de déchiffrement même s'ils paient la rançon de 300 $ en Bitcoins.

L'ampleur de l'attaque contre l'Ukraine était relativement beaucoup plus importante par rapport à d'autres pays, ce qui a conduit de nombreux chercheurs et experts en sécurité à penser que l'attaque aurait pu être simplement une attaque financée par l'État et visant l'Ukraine.

Comme le compte Bitcoin qui acceptait les paiements n'avait accumulé que plus de 10 000 USD de rançon avant la fermeture de l'identifiant de courrier électronique, les chercheurs ont alors pensé que le véritable motif de l'attaque n'était pas l'argent, mais le dommage causé à l'Ukraine.

Lisez aussi: Qu'est-ce que Ransomware et Comment se protéger contre cela?

«Le fait de prétendre être un ransomware tout en étant, en fait, une attaque contre un État-nation - d'autant plus que WannaCry a prouvé que des ransomwares largement répandus ne sont pas financièrement rentables - est à notre avis un moyen très subtil de l'attaquant pour contrôler le récit Matt Suiche de Comae a conclu.

Petya: essuie-glace, pas ransomware; Ou pas

Le rançongiciel Petya a réussi à percevoir une somme dérisoire et a affecté la banque centrale d'Ukraine, les transports en métro, l'aéroport et la centrale électrique de Tchernobyl, laissant croire aux chercheurs que l'attaque était financée par l'État et spécifiquement destinée à affecter l'infrastructure de l'Ukraine.

Des chercheurs en sécurité ont découvert que le ransomware Petya n’aurait pas pu être déchiffré.

«Après une analyse de la routine de chiffrement des logiciels malveillants utilisés dans les attaques de Petya, nous avons pensé que l'acteur menaçant ne pouvait pas déchiffrer le disque de la victime, même si un paiement avait été effectué. Cela confirme la théorie selon laquelle cette campagne de programmes malveillants n'a pas été conçue comme une attaque par ransomware pour un gain financier. Au lieu de cela, il semble qu’il s’agisse d’un essuie-glace se faisant passer pour un ransomware », ont déclaré les chercheurs de Kaspersky Security.

De plus, les infections initiales ont été envoyées avec une mise à jour de MeDoc, un programme de comptabilité ukrainien. Bien que la raison pour laquelle de nouveaux pays aient été ciblés ne soit pas claire, si cette suspicion est vraie, il pourrait alors être utile d'aider à déguiser Petya en une attaque contre ransomware mondiale plutôt qu'une attaque contre l'Ukraine parrainée par l'État.

L'un des principaux suspects de l'attaque est le gouvernement russe, qui a déjà été tenu pour responsable de cyber-attaques sur les infrastructures publiques ukrainiennes qui ont débuté peu de temps après l'annexion de la Crimée en 2014.

Bien que de nombreuses preuves montrent que Petya est un essuie-glace et non un ransomware, tout cela est au mieux circonstanciel.

Il est tout à fait possible que ces systèmes publics du gouvernement ukrainien, à l'instar d'autres organisations gouvernementales et privées d'autres pays du monde, se soient présentés comme une cible facile pour les pirates et c'est la raison pour laquelle ils ont été attaqués.

Lisez aussi: Les attaques de ransomware à la hausse: voici comment rester en sécurité.

Si vous parlez du système de décryptage et de paiement défectueux pour l’attaque du ransomware Petya, c’est peut-être simplement dû à un codage et à un suivi négligents de la part des pirates.

Même si les attaquants étaient incapables de gagner de l'argent, les logiciels malveillants volent également les informations d'identification et autres données des systèmes infectés, ce qui pourrait s'avérer utile pour les attaques à venir.

Si rien ne permet de dire avec certitude si l'attaque contre le ransomware Petya était un cas de piratage infructueux ou de guerre hybride, une chose est sûre: il est nécessaire de mettre en place des cadres de sécurité meilleurs et plus fiables pour éviter les dangers de tels cyber attaques à l'avenir.