Et si Petrwrap/Petya n’était finalement pas un ransomware ?

La journée d’hier a été marquée par de nombreuses analyses sur le malware Petrwrap/Petya. Mais celles parues hier soir ont commencé à faire pencher l’affaire dans une autre direction : il ne s’agit pas d’un « vrai » ransomware. Un faisceau d’éléments tend vers une volonté de détruire, maquillée en campagne de rançonnage.

Les caractéristiques techniques de Petrwrap/Petya/Petna/SortaPetya/GoldenEye sont connues dans les grandes lignes. Comme nous l’indiquions hier, il se présente initialement sous la forme d’un ransomware reprenant certaines parties de Petya, apparu l’année dernière.

Propagation sur les réseaux locaux via SMB, chiffrement de la MFT (Master File Table), remplacement du MBR (Master Boot Record), chiffrement des fichiers les plus utilisés, demande de rançon en bitcoin… Petrwrap propose à s’y méprendre des attributs très classiques. Mais maintenant que les chercheurs ont eu davantage de temps pour le dépiauter, il révèle des secrets qui changent radicalement les perspectives sur cette vague d’infections.

Des éléments troublants

Le principe d’un ransomware est simple. Une fois qu’il a contaminé la machine, il chiffre toutes les données de l’utilisateur en puisant dans une liste d’une soixantaine de types de fichiers (photos, vidéos, documents Office, PDF, archives Zip et RAR, etc.). Après quoi il réclame une rançon pour leur redonner accès. Selon l’importance des fichiers, certaines victimes se laissent tenter, alors que la recommandation générale est de ne pas le faire, aucune garantie n’étant possible.

Petrwrap réclame l’équivalent de 300 dollars en bitcoins, mais tout ransomware cherchant à collecter efficacement de l’argent facilite autant que possible cette étape. Le chercheur « the grugq » a été l’un des premiers à mettre en évidence des incohérences dans Petrwrap. Par exemple, une seule adresse Bitcoin pour envoyer la somme demandée, là où la plupart des ransomwares en proposent plusieurs.

D’autres éléments sont tout aussi curieux. Par exemple, l’utilisation d’une adresse email unique (fermée depuis) pour communiquer avec les pirates. Ajoutons à cela que la victime doit entrer à la main une longue suite de caractères, censément l’identifiant d’infection. Pourquoi ne pas chercher à simplifier ce processus et donc augmenter les chances qu’un utilisateur ouvre son porte-monnaie ?

Petrwrap n’est pas vraiment un ransomware

L’avis de The grucq est que Petrwrap utilise sa ressemblance avec Petya pour brouiller les pistes. Oui il en reprend des parts non négligeables, mais la finalité est loin d’être la même : « Le vrai Petya était une entreprise criminelle pour faire de l’argent. […] Celui-là est conçu pour être diffusé rapidement et causer des dégâts, sous couverture plausible d’un ransomware ».

Même son de cloche désormais chez d’autres chercheurs et entreprises. C’est par exemple le cas du côté de Matthieu Suiche, que nous avions interrogé pour WannaCrypt. Dans un billet de blog, il établit une comparaison de Petya et Petrwrap. Il se base sur une analyse du premier réalisée par Check Point et montrant que Petya agissait en trois phases :

• Étape 0 : remplacement du MBR et implantation d’un boot-loader spécifique
• Étape 1 : utilisation du boot-loader pour chiffrer la MFT
• Étape 2 : affichage des explications et de la procédure de paiement

Mais là où Petya chiffrait réellement les données, Petrwrap détruit littéralement les 25 premiers blocs de secteurs sur le disque, sans les avoir copiées et donc sans offrir la moindre méthode de récupération. Selon le chercheur, même si la victime obtenait une clé de déchiffrement, elle ne serait d’aucun secours.

En clair, Petrwrap chiffre les données sans se soucier de proposer une véritable récupération. Et si un ransomware cherchant véritablement à récolter des fonds ne s’embarrasse pas de redonner accès aux données, c’est probablement qu’il n’en est pas vraiment un. Du côté des pirates en effet, il est difficile d’inciter à payer si les victimes entendent rapidement dire que les données sont de toute façon perdues.

Kaspersky, dans un autre billet publié hier soir, est du même avis : Petrwrap n’est pas un ransomware. Comme d’autres chercheurs, l’éditeur considère désormais que le malware est un « wiper », autrement dit un effaceur de données. Il est diffusé pour détruire et provoquer des dégâts, pas pour récolter de l’argent.

La société russe apporte d’ailleurs un élément supplémentaire de preuve. La version 2016 de Petya fournissait ainsi un identifiant personnel d’infection unique correspondant à la machine de l’utilisateur. Dans le malware de 2017, l’identifiant est une séquence pseudo-aléatoire de caractères n’ayant aucun lien avec la machine. Encore une fois, la victime n’a aucun moyen de récupérer ses données, un message d’ailleurs clairement indiqué hier soir par Eugene Kaspersky dans un tweet.

Update on #NotPetya #ExPetr: threat actors CAN'T decrypt files. Don't pay ransom. It won't help -> https://t.co/Df7tGqXO2Q

— Eugene Kaspersky (@e_kaspersky) 28 juin 2017

La grande question des auteurs

Si Petrwrap n’est pas un ransomware et qu’il a pour objectif de détruire des données et de mettre la pagaille un peu partout, la question de l’identité des auteurs se fait encore plus pressante. Il existe en effet une différence de taille entre un groupe lâchant une menace sur le monde dans un but pécuniaire, et un autre qui n’en a que faire.

Un article de Wired soulevait hier à ce titre plusieurs éléments intéressants. La contamination a commencé mardi en Ukraine avant de s’étendre. Le pays, que nous décrivions récemment comme un terrain de jeu pour les auteurs de malwares, a donc été attaqué la veille de la célébration de sa Constitution, qui fête essentiellement l’indépendance du pays après la désagrégation de l’URSS.

Roman Boyarchuk, directeur du centre de cyberprotection ukrainien, a ainsi indiqué à nos confrères que l’attaque n’était « définitivement pas criminelle », avant d’ajouter : « Elle est probablement soutenue par un État ». Interrogé sur la possibilité que la Russie soit mêlée à l’affaire, le directeur semblait avoir un avis assez clair sur la question : « Difficile d’imaginer que quelqu’un d’autre aurait pu vouloir faire ça ». Difficile, mais pas impossible, surtout dans un tel domaine.

La plupart des chercheurs s’accordent en tout cas pour dire que l’aspect ransomware de Petrwrap n’était qu’une façade destinée à la presse, pour profiter du sillage laissé par WannaCrypt. On s’interroge quand même : s’il s’agit bien d’un maquillage, il est finalement assez peu travaillé.

Les concepteurs du malware ne pouvaient pas ignorer que leur code serait dans tous les cas analysé par les chercheurs et sociétés de sécurité. Les limites étranges sur la partie paiement, le faux identifiant ou encore l’adresse email rapidement fermée par Posteo ne pouvaient que faire rapidement voler en éclats le déguisement. Comparé à WannaCrypt, sur lequel pèsent également des soupçons de mascarade, Petrwrap semble avoir fait bien peu d’efforts.

Le décorticage du malware continue quoi qu’il en soit, et il y a fort à parier que d’autres informations aideront à établir un tableau général plus précis. Notez que d'un point de vue hygiène informatique, la finalité du malware importe peu. Les conseils donnés par l'ANSSI restent ainsi valables.