Qu'est-ce que les ransomwares Petya et NotPetya ?
Petya et NotPetya ont frappé les ordinateurs en 2016 et 2017, respectivement, ce dernier ayant entraîné des milliards de dollars de dommages. La première variante de Petya chiffrait les enregistrements d'amorçage maître pour rendre les disques durs entiers inaccessibles au lieu de chiffrer des fichiers spécifiques comme le font les ransomwares classiques. Une autre variante de Petya était cependant plus dangereuse, infectant les enregistrements d'amorçage et chiffrant les documents.
Une version significativement modifiée de Petya, surnommée par les chercheurs NotPetya, était plus destructrice et prolifique que les anciennes versions de Petya. Contrairement à Petya, NotPetya pourrait avoir été une cyberarme. Elle a principalement touché des organisations en Ukraine.
Qu'est-ce que Petya ?
Petya est un logiciel malveillant de chiffrement découvert par des chercheurs en 2016. Son nom est inspiré d'un satellite soviétique fictif du film GoldenEye (1995) de James Bond. Si le taux de pénétration de Petya était moyen, sa technique de chiffrement était innovante et inhabituelle.
Qu'a fait Petya ?
Le ransomware s'est propagé par le biais de courriels d'hameçonnage contenant un PDF fonctionnant comme un cheval de Troie. Dès qu'une personne activait Petya et lui donnait un accès administrateur, le rançongiciel se mettait au travail. Après avoir redémarré l'ordinateur d'une cible comme un virus de secteur d'amorçage, il écrase le Master Boot Record (MBR) pour chiffrer le disque dur. Si les fichiers d'un ordinateur infecté par Petya n'étaient pas chiffrés, corrompus ou perdus, ils étaient en revanche inaccessibles. Petya exigeait des victimes qu'elles versent des bitcoins pour rétablir l'accès aux fichiers.
Quelle est la différence entre Petya et NotPetya ?
NotPetya était une version suralimentée de Petya. Les experts en cybersécurité l'ont nommé « NotPetya », et ce nom est resté. Bien que Petya et NotPetya puissent aider un cybercriminel à lancer une attaque par ransomware, des différences critiques existent.
1. Propagation
Petya ne s'est pas propagé aussi rapidement que NotPetya pour plusieurs raisons. Tout d'abord, il essayait de tromper les utilisateurs pour qu'ils l'ouvrent, et de nombreux utilisateurs d'ordinateurs modernes peuvent identifier les techniques d'ingénierie sociale telles que les attaques par hameçonnage. La variante originale de Petya nécessitait également des autorisations d'administrateur que de nombreux utilisateurs expérimentés ne partageaient pas. En revanche, NotPetya s'est propagé plus rapidement par le biais de portes dérobées, d'exploits comme Eternal Blue et de vulnérabilités d'accès à distance. Pour en savoir plus sur la famille de ransomwares Petya, consultez le site EternalPetya.
2. Chiffrement
Comme mentionné ci-dessus, la version originale de Petya ne chiffre pas les fichiers, mais seulement le registre d'amorçage pour empêcher les victimes de charger Windows. En revanche, NotPetya chiffrait les fichiers et endommageait même certains disques de stockage. Les deux différaient également dans leurs affichages et messages adressés à leurs cibles. Fait intéressant, une seconde variante de Petya armée de la charge utile de ransomware Mischa peut aussi chiffrer les documents et n'a pas besoin des autorisations administratives de la victime.
3. Déchiffrement
De nombreux experts ont affirmé que les attaquants de NotPetya ne pouvaient pas décrypter les fichiers. Par exemple, le Centre national de cybersécurité du Royaume-Uni a déclaré : "Le logiciel malveillant n'a pas été conçu pour être décrypté : "Le logiciel malveillant n'a pas été conçu pour être décrypté. Cela signifie que les victimes n'avaient aucun moyen de récupérer leurs données une fois qu'elles avaient été cryptées." Cependant, les chercheurs de Vice ont appris que les pirates de NotPetya hackers ont pu déverrouiller tous les fichiers cryptés par le ransomware.
Quel type d'attaque était NotPetya ?
NotPetya était très probablement une cyberattaque. Ses auteurs semblaient plus intéressés par la perturbation des systèmes que par la génération de revenus, et il est peu probable que de simples hackers aient eu les ressources ou les compétences pour transformer Petya en NotPetya si rapidement.
Qui NotPetya ciblait-il ?
Bien que NotPetya se soit répandu naturellement à travers l'Europe, l'Asie et l'Amérique du Nord, sa cible réelle était très probablement l'Ukraine. NotPetya a frappé les secteurs gouvernementaux, des transports, de l'énergie et des finances, entraînant des pertes monétaires et de productivité importantes dans le pays européen. L'attaque NotPetya a également commencé à la veille de la Journée de la Constitution de l'Ukraine.
Qui a lancé NotPetya ?
NotPetya porte les marques de la cyberguerre parrainée par l'État. Les politiciens ukrainiens ont accusé les services de sécurité russes pour NotPetya, et le gouvernement américain était d'accord. Le Kremlin a répondu en niant ces affirmations et en soulignant que le ransomware s'est propagé aussi en Russie. Cependant, un porte-parole national a déclaré que l'attaque n'avait pas causé de dégâts sérieux en Russie.
Est-ce que NotPetya est un ransomware ?
Certains experts affirment que NotPetya n'est pas un ransomware car ses auteurs pourraient ne pas avoir la capacité de déchiffrer les ordinateurs. Mais la réponse à « Est-ce que NotPetya est un ransomware » dépend de votre définition de ransomware. On pourrait dire que NotPetya est un ransomware indépendamment des capacités de ses auteurs à déchiffrer les ordinateurs car il empêche les utilisateurs d'accéder à leurs fichiers ou au système et exige un paiement de rançon. De même, WannaCry est également une souche de ransomware même si ses auteurs peuvent avoir la capacité de déchiffrer les ordinateurs.
Comment arrêter Petya
Vous avez peut-être lu que les acteurs de la menace utilisent les vulnérabilités SMB pour lancer des attaques de ransomware comme NotPetya et WannaCry. Le téléchargement des derniers correctifs Windows Server Message Block (SMB) permet de combler ces failles de sécurité. Il est également important d'utiliser un logiciel de sécurité capable de protéger contre les ransomwares. Sauvegarder régulièrement vos données peut également vous aider à vous préparer en cas d'attaque de ransomware.