Les experts du monde entiers semblent unanime sur la e-menace NotPetya / GoldenEye / ExPetr / PetrWrap : il s’agit d’un malware destructeur (wiper malware) et non d’un ransomware créé pour s’enrichir.
Les experts vont même plus loin en soutenant que NotPetya était une sorte de diversion à l’échelle mondiale alors que le véritable objectif était une cyberattaque violent à l’encontre de l’Ukraine. Cela explique le taux d’infection largement supérieur en Ukraine comme le montrait les statistiques dévoilée par Kaspersky hier. Il s’agit là d’un malware d’une rare sophistication qui s’est répandu sur le Net à la vitesse de la lumière…
La mauvaise nouvelle pour les victimes du monde entier est par conséquent que les données chiffrées par le malware sont perdues définitivement, il est totalement inutile de payer la rançon, toute récupération sera impossible étant donné que le malware ne gère pas du tout cela !
Selon le Français Matthieu Suiche, expert en sécurité chez Comae, NotPetya s’avère être en réalité un « wiper », chargé de détruire un disque dur en s’en prenant au MBR et de causer « le maximum de dégâts ». Suiche explique que le code du malware a été écrit pour détruire des secteurs critiques du disque dur. Du coup, l’opération ne peut pas être inversée si une victime paie la rançon, alors que les hackers motivés par le gain prennent en général soin des données.
Notons aussi que le malware n’implémente pas le réseau Tor pour gérer les rançons et les clés de déchiffrement, et no propose qu’une seule adresse Bitcoin pour l’ensemble des victimes.
A ce jour, il semblerait que 45 entreprises ont payées la rançon de 300 dollars exigées, soit un total d’environ 10 000 dollars. Bien entendu, c’est en pure perte car cela ne leur a servi à rien vis-à-vis des données détruites…
L’objectif final de ce malware redoutable semble donc être la diversion du monde entier pendant que l’acteur à l’origine de la cyberattaque entreprend son oeuvre de destruction en Ukraine. Selon les derniers chiffres de Kaspersky, 60% des cyberattaques ont frappé directement l’Ukraine, au cœur de ses systèmes critiques. Tout est paralysé : banques, stations-service, métro de Kiev, transports, aéroport et même le système de mesure de la radioactivité à la centrale de Tchernobyl.
Cela fait vaguement penser à la précédente attaque via le malware “Industroyer” qui s’en est récemment pris a une importante centrale électrique ukrainienne et a provoqué de nombreuses coupures de courant dans le pays.
A l’heure actuelle, l’origine de la cyberattaque reste inconnue, seuls des soupçons sont présents, sachant qu’il y a des dommages collatéraux dans certains pays… affaire à suivre donc.