Les ransomwares Petya et NotPetya

Petya et NotPetya sont des cyberattaques qui ont eu lieu respectivement en 2016 et 2017. Il s'agissait dans les deux cas de ransomwares, mais NotPetya était encore plus avancé que Petya.

.st0{fill:#0D3ECC;} TÉLÉCHARGER GRATUITEMENT MALWAREBYTES

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Que sont les ransomwares Petya et NotPetya ?

Petya et NotPetya ont frappé les ordinateurs en 2016 et 2017, respectivement, ce dernier ayant entraîné des milliards de dollars de dommages. La première variante de Petya chiffrait les enregistrements d'amorçage principaux pour rendre des disques durs entiers inaccessibles au lieu de chiffrer des fichiers spécifiques comme le font les ransomwares typiques. Une autre variante de Petya était cependant plus dangereuse, infectant les enregistrements de démarrage et chiffrant les documents.

Une version considérablement modifiée de Petya, baptisée NotPetya par les chercheurs, était plus destructrice et plus prolifique que les anciennes versions de Petya. Contrairement à Petya, NotPetya pourrait avoir été une cyberarme. Il a principalement touché des organisations en Ukraine.

Qu'est-ce que Petya ?

Petya est un logiciel malveillant de chiffrement découvert par des chercheurs en 2016. Son nom est inspiré d'un satellite soviétique fictif du film GoldenEye (1995) de James Bond. Si le taux de pénétration de Petya était moyen, sa technique chiffrement était innovante et inhabituelle.

Qu'a fait Petya ?

Le ransomware s'est propagé par le biais de courriels d'hameçonnage contenant un PDF fonctionnant comme un cheval de Troie. Dès qu'une personne activait Petya et lui donnait un accès administrateur, le rançongiciel se mettait au travail. Après avoir redémarré l'ordinateur d'une cible comme un virus de secteur d'amorçage, il écrase le Master Boot Record (MBR) pour chiffrer le disque dur. Si les fichiers d'un ordinateur infecté par Petya n'étaient pas chiffrés, corrompus ou perdus, ils étaient en revanche inaccessibles. Petya exigeait des victimes qu'elles versent des bitcoins pour rétablir l'accès aux fichiers.

Quelle est la différence entre Petya et NotPetya ?

NotPetya était une version améliorée de Petya. Les experts en cybersécurité l'ont baptisé "NotPetya", et le nom est resté. Bien que Petya et NotPetya puissent tous deux aider un cybercriminel à lancer une attaque par ransomware, il existe des différences essentielles.

1. La propagation

Petya ne s'est pas propagé aussi rapidement que NotPetya pour plusieurs raisons. Tout d'abord, il essayait de tromper les utilisateurs pour qu'ils l'ouvrent, et de nombreux utilisateurs d'ordinateurs modernes peuvent identifier les techniques d'ingénierie sociale telles que les attaques par hameçonnage. La variante originale de Petya nécessitait également des autorisations d'administrateur que de nombreux utilisateurs expérimentés ne partageaient pas. En revanche, NotPetya s'est propagé plus rapidement par le biais de portes dérobées, d'exploits comme Eternal Blue et de vulnérabilités d'accès à distance. Pour en savoir plus sur la famille de ransomwares Petya, consultez le site EternalPetya.

2. chiffrement

Comme indiqué ci-dessus, la version originale de Petya ne crypte pas les fichiers, mais seulement l'enregistrement de démarrage afin d'empêcher les victimes de charger Windows. En revanche, NotPetya chiffre les fichiers et endommage même certains disques de stockage. Les deux variantes se distinguent également par leur affichage et les messages qu'elles adressent à leurs cibles. Il est intéressant de noter qu'une deuxième variante de Petya, dotée de la charge utile de ransomware Mischa, chiffre également les documents et ne nécessite pas d'autorisations administratives de la part de la victime.

3. Décryptage

De nombreux experts ont affirmé que les attaquants de NotPetya ne pouvaient pas décrypter les fichiers. Par exemple, le National Cyber Security Centre du Royaume-Uni a déclaré : "Le logiciel malveillant n'a pas été conçu pour être décrypté : "Le logiciel malveillant n'a pas été conçu pour être décrypté. Cela signifie que les victimes n'avaient aucun moyen de récupérer leurs données une fois qu'elles avaient été cryptées." Cependant, les chercheurs de Vice ont appris que les pirates de NotPetya pouvaient finalement déverrouiller tous les fichiers cryptés par le ransomware.

Quel est le type d'attaque de NotPetya ?

NotPetya était très probablement une cyberattaque. Ses auteurs semblaient plus intéressés par la perturbation des systèmes que par la génération de revenus, et il est peu probable que de petits pirates aient eu les ressources ou les compétences nécessaires pour transformer Petya en NotPetya aussi rapidement.

Qui était visé par NotPetya ?

Bien que NotPetya se soit organiquement répandu en Europe, en Asie et en Amérique du Nord, sa cible réelle était très probablement l'Ukraine. NotPetya a touché les secteurs du gouvernement, des transports, de l'énergie et de la finance, entraînant de fortes pertes monétaires et de productivité dans le pays européen. L'attaque NotPetya a également débuté la veille du jour de la Constitution ukrainienne.

Qui est à l'origine de NotPetya ?

NotPetya présente les caractéristiques d'une cyberguerre parrainée par un État. Les responsables politiques ukrainiens ont accusé les services de sécurité russes d'être à l'origine de NotPetya, et le gouvernement américain a abondé dans ce sens. Le Kremlin a réagi en niant ces affirmations et en soulignant que le ransomware s'était également propagé en Russie. Toutefois, un porte-parole national a déclaré que l'attaque n'avait pas causé de dommages importants en Russie.  

NotPetya est-il un ransomware ?

Certains experts estiment que NotPetya n'est pas un ransomware car ses auteurs n'ont pas la capacité de décrypter les ordinateurs. Mais la réponse à la question "NotPetya est-il un ransomware ?" dépend de votre définition du ransomware. On pourrait dire que NotPetya est un ransomware indépendamment de la capacité de ses auteurs à décrypter les ordinateurs, car il empêche les utilisateurs d'accéder à leurs fichiers ou à leur système et exige le paiement d'une rançon. De même, WannaCry est une souche de ransomware même si ses auteurs peuvent avoir la capacité de décrypter les ordinateurs.

Comment arrêter Petya

Vous avez peut-être lu que les acteurs de la menace utilisent les vulnérabilités SMB pour lancer des attaques de ransomware comme NotPetya et WannaCry. Le téléchargement des derniers correctifs Windows Server Message Block (SMB) permet de combler ces failles de sécurité. Il est également important d'utiliser un logiciel de sécurité capable de protéger contre les ransomwares. Sauvegarder régulièrement vos données peut également vous aider à vous préparer en cas d'attaque de ransomware.