Qu'est-ce que les ransomwares Petya et NotPetya ?
Petya et NotPetya ont frappé les ordinateurs en 2016 et 2017, respectivement, ce dernier ayant entraîné des milliards de dollars de dommages. La première variante de Petya chiffrait les enregistrements d'amorçage maître pour rendre les disques durs entiers inaccessibles au lieu de chiffrer des fichiers spécifiques comme le font les ransomwares classiques. Une autre variante de Petya était cependant plus dangereuse, infectant les enregistrements d'amorçage et chiffrant les documents.
Une version significativement modifiée de Petya, surnommée par les chercheurs NotPetya, était plus destructrice et prolifique que les anciennes versions de Petya. Contrairement à Petya, NotPetya pourrait avoir été une cyberarme. Elle a principalement touché des organisations en Ukraine.
Qu'est-ce que Petya ?
Petya est un logiciel malveillant de chiffrement découvert par les chercheurs en 2016. Son nom est inspiré d'un satellite soviétique fictif du film de James Bond GoldenEye (1995). Bien que le taux de pénétration de Petya était moyen, sa technique de chiffrement était innovante et inhabituelle.
Qu'a fait Petya ?
Le ransomware s'est propagé par des emails de phishing transportant un PDF fonctionnant comme un cheval de Troie. Dès que quelqu'un activait Petya et lui donnait un accès administrateur, le ransomware entrait en action. Après avoir redémarré l'ordinateur ciblé comme un virus du secteur d'amorçage, il réécrivait le Master Boot Record (MBR) pour chiffrer le disque dur. Bien que les fichiers sur un ordinateur infecté par Petya n'étaient pas chiffrés, corrompus ou perdus, ils étaient inaccessibles. Petya exigeait des Bitcoins des victimes pour restaurer l'accès.
Quelle est la différence entre Petya et NotPetya ?
NotPetya était une version suralimentée de Petya. Les experts en cybersécurité l'ont nommé « NotPetya », et ce nom est resté. Bien que Petya et NotPetya puissent aider un cybercriminel à lancer une attaque par ransomware, des différences critiques existent.
1. Propagation
Petya ne s'est pas propagé aussi rapidement que NotPetya pour plusieurs raisons. D'une part, il tentait de piéger les utilisateurs pour l'ouvrir, et beaucoup d'utilisateurs modernes peuvent identifier les techniques d'ingénierie sociale comme les attaques par phishing. La variante originale de Petya nécessitait également des autorisations administratives que de nombreux utilisateurs expérimentés ne partageaient pas. En revanche, NotPetya s'est propagé plus rapidement par des portes dérobées, des exploits comme Eternal Blue, et des vulnérabilités d'accès à distance. Vous pouvez lire EternalPetya pour en savoir plus sur la famille de ransomwares Petya.
2. Chiffrement
Comme mentionné ci-dessus, la version originale de Petya ne chiffre pas les fichiers, mais seulement le registre d'amorçage pour empêcher les victimes de charger Windows. En revanche, NotPetya chiffrait les fichiers et endommageait même certains disques de stockage. Les deux différaient également dans leurs affichages et messages adressés à leurs cibles. Fait intéressant, une seconde variante de Petya armée de la charge utile de ransomware Mischa peut aussi chiffrer les documents et n'a pas besoin des autorisations administratives de la victime.
3. Déchiffrement
De nombreux experts affirmaient que les attaquants de NotPetya ne pouvaient pas déchiffrer les fichiers. Par exemple, le Centre National de Cyber Sécurité du Royaume-Uni a déclaré : « Le malware n'a pas été conçu pour être décrypté. Cela signifiait qu'il n'y avait pas de moyen pour les victimes de récupérer les données une fois qu'elles avaient été chiffrées. » Cependant, les chercheurs de Vice ont appris que les hackers de NotPetya pouvaient finalement déverrouiller tous les fichiers chiffrés par le ransomware.
Quel type d'attaque était NotPetya ?
NotPetya était très probablement une cyberattaque. Ses auteurs semblaient plus intéressés par la perturbation des systèmes que par la génération de revenus, et il est peu probable que de simples hackers aient eu les ressources ou les compétences pour transformer Petya en NotPetya si rapidement.
Qui NotPetya ciblait-il ?
Bien que NotPetya se soit répandu naturellement à travers l'Europe, l'Asie et l'Amérique du Nord, sa cible réelle était très probablement l'Ukraine. NotPetya a frappé les secteurs gouvernementaux, des transports, de l'énergie et des finances, entraînant des pertes monétaires et de productivité importantes dans le pays européen. L'attaque NotPetya a également commencé à la veille de la Journée de la Constitution de l'Ukraine.
Qui a lancé NotPetya ?
NotPetya porte les marques de la cyberguerre parrainée par l'État. Les politiciens ukrainiens ont accusé les services de sécurité russes pour NotPetya, et le gouvernement américain était d'accord. Le Kremlin a répondu en niant ces affirmations et en soulignant que le ransomware s'est propagé aussi en Russie. Cependant, un porte-parole national a déclaré que l'attaque n'avait pas causé de dégâts sérieux en Russie.
Est-ce que NotPetya est un ransomware ?
Certains experts affirment que NotPetya n'est pas un ransomware car ses auteurs pourraient ne pas avoir la capacité de déchiffrer les ordinateurs. Mais la réponse à « Est-ce que NotPetya est un ransomware » dépend de votre définition de ransomware. On pourrait dire que NotPetya est un ransomware indépendamment des capacités de ses auteurs à déchiffrer les ordinateurs car il empêche les utilisateurs d'accéder à leurs fichiers ou au système et exige un paiement de rançon. De même, WannaCry est également une souche de ransomware même si ses auteurs peuvent avoir la capacité de déchiffrer les ordinateurs.
Comment arrêter Petya
Vous avez peut-être lu comment les acteurs de la menace utilisent les vulnérabilités SMB pour lancer des attaques par ransomware comme NotPetya et WannaCry. Télécharger les derniers correctifs Windows Server Message Block (SMB) peut combler ces failles de sécurité. L'utilisation d'un logiciel de sécurité qui peut protéger contre les ransomwares est également importante. Sauvegarder vos données régulièrement peut aussi vous aider à être préparé en cas d'attaque par ransomware.