Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Et si Petrwrap/Petya n'était finalement pas un ransomware ?

Certains rêvent de voir le monde brûler
Internet 6 min
Et si Petrwrap/Petya n'était finalement pas un ransomware ?
Crédits : Purestock/iStock/ThinkStock

La journée d’hier a été marquée par de nombreuses analyses sur le malware Petrwrap/Petya. Mais celles parues hier soir ont commencé à faire pencher l’affaire dans une autre direction : il ne s’agit pas d’un « vrai » ransomware. Un faisceau d’éléments tend vers une volonté de détruire, maquillée en campagne de rançonnage.

Les caractéristiques techniques de Petrwrap/Petya/Petna/SortaPetya/GoldenEye sont connues dans les grandes lignes. Comme nous l’indiquions hier, il se présente initialement sous la forme d’un ransomware reprenant certaines parties de Petya, apparu l’année dernière.

Propagation sur les réseaux locaux via SMB, chiffrement de la MFT (Master File Table), remplacement du MBR (Master Boot Record), chiffrement des fichiers les plus utilisés, demande de rançon en bitcoin… Petrwrap propose à s’y méprendre des attributs très classiques. Mais maintenant que les chercheurs ont eu davantage de temps pour le dépiauter, il révèle des secrets qui changent radicalement les perspectives sur cette vague d’infections.

Des éléments troublants

Le principe d’un ransomware est simple. Une fois qu’il a contaminé la machine, il chiffre toutes les données de l’utilisateur en puisant dans une liste d’une soixantaine de types de fichiers (photos, vidéos, documents Office, PDF, archives Zip et RAR, etc.). Après quoi il réclame une rançon pour leur redonner accès. Selon l’importance des fichiers, certaines victimes se laissent tenter, alors que la recommandation générale est de ne pas le faire, aucune garantie n’étant possible.

Petrwrap réclame l’équivalent de 300 dollars en bitcoins, mais tout ransomware cherchant à collecter efficacement de l’argent facilite autant que possible cette étape. Le chercheur « the grugq » a été l’un des premiers à mettre en évidence des incohérences dans Petrwrap. Par exemple, une seule adresse Bitcoin pour envoyer la somme demandée, là où la plupart des ransomwares en proposent plusieurs.

D’autres éléments sont tout aussi curieux. Par exemple, l’utilisation d’une adresse email unique (fermée depuis) pour communiquer avec les pirates. Ajoutons à cela que la victime doit entrer à la main une longue suite de caractères, censément l’identifiant d’infection. Pourquoi ne pas chercher à simplifier ce processus et donc augmenter les chances qu’un utilisateur ouvre son porte-monnaie ?

Petrwrap n’est pas vraiment un ransomware

L’avis de The grucq est que Petrwrap utilise sa ressemblance avec Petya pour brouiller les pistes. Oui il en reprend des parts non négligeables, mais la finalité est loin d’être la même : « Le vrai Petya était une entreprise criminelle pour faire de l’argent. […] Celui-là est conçu pour être diffusé rapidement et causer des dégâts, sous couverture plausible d’un ransomware ».

Même son de cloche désormais chez d’autres chercheurs et entreprises. C’est par exemple le cas du côté de Matthieu Suiche, que nous avions interrogé pour WannaCrypt. Dans un billet de blog, il établit une comparaison de Petya et Petrwrap. Il se base sur une analyse du premier réalisée par Check Point et montrant que Petya agissait en trois phases :

  • Étape 0 : remplacement du MBR et implantation d’un boot-loader spécifique
  • Étape 1 : utilisation du boot-loader pour chiffrer la MFT
  • Étape 2 : affichage des explications et de la procédure de paiement

Mais là où Petya chiffrait réellement les données, Petrwrap détruit littéralement les 25 premiers blocs de secteurs sur le disque, sans les avoir copiées et donc sans offrir la moindre méthode de récupération. Selon le chercheur, même si la victime obtenait une clé de déchiffrement, elle ne serait d’aucun secours.

En clair, Petrwrap chiffre les données sans se soucier de proposer une véritable récupération. Et si un ransomware cherchant véritablement à récolter des fonds ne s’embarrasse pas de redonner accès aux données, c’est probablement qu’il n’en est pas vraiment un. Du côté des pirates en effet, il est difficile d’inciter à payer si les victimes entendent rapidement dire que les données sont de toute façon perdues.

Kaspersky, dans un autre billet publié hier soir, est du même avis : Petrwrap n’est pas un ransomware. Comme d’autres chercheurs, l’éditeur considère désormais que le malware est un « wiper », autrement dit un effaceur de données. Il est diffusé pour détruire et provoquer des dégâts, pas pour récolter de l’argent.

La société russe apporte d’ailleurs un élément supplémentaire de preuve. La version 2016 de Petya fournissait ainsi un identifiant personnel d’infection unique correspondant à la machine de l’utilisateur. Dans le malware de 2017, l’identifiant est une séquence pseudo-aléatoire de caractères n’ayant aucun lien avec la machine. Encore une fois, la victime n’a aucun moyen de récupérer ses données, un message d’ailleurs clairement indiqué hier soir par Eugene Kaspersky dans un tweet.

La grande question des auteurs

Si Petrwrap n’est pas un ransomware et qu’il a pour objectif de détruire des données et de mettre la pagaille un peu partout, la question de l’identité des auteurs se fait encore plus pressante. Il existe en effet une différence de taille entre un groupe lâchant une menace sur le monde dans un but pécuniaire, et un autre qui n’en a que faire.

Un article de Wired soulevait hier à ce titre plusieurs éléments intéressants. La contamination a commencé mardi en Ukraine avant de s’étendre. Le pays, que nous décrivions récemment comme un terrain de jeu pour les auteurs de malwares, a donc été attaqué la veille de la célébration de sa Constitution, qui fête essentiellement l’indépendance du pays après la désagrégation de l’URSS.

Roman Boyarchuk, directeur du centre de cyberprotection ukrainien, a ainsi indiqué à nos confrères que l’attaque n’était « définitivement pas criminelle », avant d’ajouter : « Elle est probablement soutenue par un État ». Interrogé sur la possibilité que la Russie soit mêlée à l’affaire, le directeur semblait avoir un avis assez clair sur la question : « Difficile d’imaginer que quelqu’un d’autre aurait pu vouloir faire ça ». Difficile, mais pas impossible, surtout dans un tel domaine.

La plupart des chercheurs s’accordent en tout cas pour dire que l’aspect ransomware de Petrwrap n’était qu’une façade destinée à la presse, pour profiter du sillage laissé par WannaCrypt. On s’interroge quand même : s’il s’agit bien d’un maquillage, il est finalement assez peu travaillé.

Les concepteurs du malware ne pouvaient pas ignorer que leur code serait dans tous les cas analysé par les chercheurs et sociétés de sécurité. Les limites étranges sur la partie paiement, le faux identifiant ou encore l’adresse email rapidement fermée par Posteo ne pouvaient que faire rapidement voler en éclats le déguisement. Comparé à WannaCrypt, sur lequel pèsent également des soupçons de mascarade, Petrwrap semble avoir fait bien peu d’efforts.

Le décorticage du malware continue quoi qu’il en soit, et il y a fort à parier que d’autres informations aideront à établir un tableau général plus précis. Notez que d'un point de vue hygiène informatique, la finalité du malware importe peu. Les conseils donnés par l'ANSSI restent ainsi valables.

93 commentaires
Avatar de swiper Abonné
Avatar de swiperswiper- 29/06/17 à 11:05:01

Comme je pouvais le penser tout ceci n'est finalement qu'une rampe d'essai pour ceux qui sont les auteurs. D'ailleurs pointer la Russie ne me convainc pas vraiment étant donné que c'est bien trop évident et lorsque l'on connait la difficulté de découvrir un coupable dans ces cas là...

Moi qui travaille dans la sécurité, je trouve que finalement ces incidents ont un côté très positif car les DSI vont peut être enfin avoir les budgets pour s'équiper suffisamment et vont avoir la pression nécessaire pour accélérer les délais de mise à jour.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 29/06/17 à 11:16:17

Il existe en effet une différence de taille entre un groupe lâchant une menace sur le monde dans un but pécunier, et un autre qui n’en a que faire.

C'est toute la différence entre les businessmen et les politiciens.

:troll:

Avatar de chorod INpactien
Avatar de chorodchorod- 29/06/17 à 11:19:54

swiper a écrit :

Moi qui travaille dans la sécurité, je trouve que finalement ces incidents ont un côté très positif car les DSI vont peut être enfin avoir les budgets pour s'équiper suffisamment et vont avoir la pression nécessaire pour accélérer les délais de mise à jour.

... ou bien cela sera le prétexte rêvé au passage au full externalisé. Ouste les admins et l'infra, hello le cloud.

 

127.0.0.1 a écrit :

C'est toute la différence entre les businessmen et les politiciens.

:troll:

:mdr2::bravo:

Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 29/06/17 à 11:39:39

swiper a écrit :

Comme je pouvais le penser tout ceci n'est finalement qu'une rampe d'essai pour ceux qui sont les auteurs. D'ailleurs pointer la Russie ne me convainc pas vraiment étant donné que c'est bien trop évident et lorsque l'on connait la difficulté de découvrir un coupable dans ces cas là...

Moi qui travaille dans la sécurité, je trouve que finalement ces incidents ont un côté très positif car les DSI vont peut être enfin avoir les budgets pour s'équiper suffisamment et vont avoir la pression nécessaire pour accélérer les délais de mise à jour.

À mon avis, ce sont plus de petits rigolos qui font ça soit pour le fun, soit par conviction idéologique personnelle (néo-luddites par exemple) avec pas d'autres but que de faire parler d'eux en foutant la merde.

Un Etat, surtout l'Etat russe, aurait fait les choses de façon bien plus soignée, même pour du sabotage pur et simple.

Avatar de Naneday INpactien
Avatar de NanedayNaneday- 29/06/17 à 11:49:54

C'est Israel qui est derriere tout ca, uniquement pour vendre leurs matos de securité, apres c'est vrais que la Russie pourrait etre le coupable idéale, apres tout on sait tous qu'ils ont essayer de manipuler les elections de different pays..

Édité par Naneday le 29/06/2017 à 11:51
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 29/06/17 à 11:52:04

réduire les délais non ? :francais:

Avatar de nikon56 INpactien
Avatar de nikon56nikon56- 29/06/17 à 11:53:18

swiper a écrit :

Comme je pouvais le penser tout ceci n'est finalement qu'une rampe d'essai pour ceux qui sont les auteurs. D'ailleurs pointer la Russie ne me convainc pas vraiment étant donné que c'est bien trop évident et lorsque l'on connait la difficulté de découvrir un coupable dans ces cas là...

Moi qui travaille dans la sécurité, je trouve que finalement ces incidents ont un côté très positif car les DSI vont peut être enfin avoir les budgets pour s'équiper suffisamment et vont avoir la pression nécessaire pour accélérer les délais de mise à jour.

certains pourraient justement penser que ce n'est PAS la russie car tellement eviden

Commentaire_supprime a écrit :

À mon avis, ce sont plus de petits rigolos qui font ça soit pour le fun, soit par conviction idéologique personnelle (néo-luddites par exemple) avec pas d'autres but que de faire parler d'eux en foutant la merde.

Un Etat, surtout l'Etat russe, aurait fait les choses de façon bien plus soignée, même pour du sabotage pur et simple.

peut etre pas finalement, c'estt un bon moyen justement de detourner l'attention d'eux.
la theorie d'un "petit" groupe est tentante bien sur, mais cela me parait peut probable attendu la vitesse de proagation du truc, en 1h +- une grosse partie de l'ukraine a ramasser. cela, amha, demande tout de meme quelques moyens

Édité par nikon56 le 29/06/2017 à 11:56
Avatar de Niktareum INpactien
Avatar de NiktareumNiktareum- 29/06/17 à 12:08:18

Nous avons de fins analystes en cyber-géopolitique ici 🤡.

Avatar de swiper Abonné
Avatar de swiperswiper- 29/06/17 à 12:11:55

Ca dépend de combien de délai on cause. Car si on se réfère à d'autres failles que celle de SMB-1, les mises à jours étaient sorties depuis beaucoup de mois...

Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

+1 ...j'arrête pas le dire aux gens ...

Il n'est plus possible de commenter cette actualité.
Page 1 / 10