Après avoir bloqué beaucoup de serveurs et de PC dans le monde, le groupe à l’origine du malware NotPetya se lance dans une opération de communication ou plutôt dans une nouvelle phase d’extorsion, diront certains. En effet, le groupe offre aux victimes une clé de déchiffrement pour la modique somme de 100 bitcoins, soit environ 250 000 dollars.
Le proposition a été faite sur les sites DeepPaste et Pastebin. « Envoyez-moi 100 bitcoins et vous obtiendrez ma clé privée pour déchiffrer tous les disques durs (sauf les disques de boot) ». Le message comprend aussi deux adresses sur mega.nz, ainsi que différents éléments d’authentification.
Dans un entretien avec Motherboard, un des pirates lié au groupe justifie la forte somme demandée, car la clé est censée « déchiffrer tous les ordinateurs » infectés par le malware. Une information qui laisse à penser que « quelqu’un dispose d’une clé privée pour déchiffrer les données verrouillées par le malware NotPetya », constate Anton Cherepanov, chercheur chez Eset. Dans son analyse, ce dernier précise que « les fichiers de démarrage sont chiffrés avec une méthode différente de celle employée pour les autres fichiers des disques durs ». Or, dans son offre, le groupe de hackers indique bien que la clé vendue sert à déchiffrer tous les disques durs sauf les secteurs de boot.
En début de semaine, la plupart des analystes voyait en NotPetya un malware ayant pour principal objectif le sabotage des PC et des serveurs et non l’appât du gain. Les experts considéraient que même en payant la rançon d’un montant très peu élevé (0,3 bitcoin soit 200 dollars), il n’y avait, techniquement, aucune chance de récupérer les données. In fine, le retour sur investissement a été relativement faible pour les auteurs de la souche infectieuse, car le portefeuille des cybercriminels a atteint 3,96 bitcoins, soit un peu plus de 10 000 dollars. Les spécialistes ont d’ailleurs remarqué, en milieu de semaine, le transfert de cet argent virtuel vers une autre adresse d’origine inconnue.
La nouvelle proposition intervient également quelques heures après un raid de la police ukrainienne contre la société Intellect Service vendant le logiciel de comptabilité Medoc, considéré comme le vecteur de propagation initial de NotPetya. Les autorités ukrainiennes affirment que la société a travaillé avec la Russie pour « porter atteinte à la souveraineté ukrainienne » et qu’ils « étaient au courant qu’un virus était présent sur leur logiciel, mais n’ont pas réagi ». Même l’OTAN est intervenue sur cette affaire en expliquant que l’attaque pourrait constituer un acte de guerre, capable d’activer l’article 5 prévoyant l’assistance des pays touchés par les autres membres de l’organisation.
A lire aussi :
WannaCry et NotPetya laissent-ils les DSI de glace ?
Les Shadow Brokers plus gourmands sur leur service premium
En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…
Le dernier rapport environnemental de Google comporte peu d'indicateurs spécifiques à l'IA. Quelles perspectives l'entreprise…
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…