En plus de Petya, un clone de WannaCry vise aussi l’Ukraine

Mise à jour le 30/06 à 15h15

Un nouvel élément semble confirmer que l’Ukraine est bien la cible d’une attaque coordonnée. Déjà victime n°1 du tristement célèbre Petya ou NotPetya, le pays de l’Est a aussi été visé en début de semaine par un autre ransomware, un clone de WannaCry, qui avait lui-même déjà défrayé la chronique en mai. Cette nouvelle campagne d’attaques a été découverte par MalwareHunterTeam, un chercheur ou groupe de chercheurs en sécurité, qui explique que sa découverte résulte du dépôt de souches infectieuses, la plupart du temps par des organisations ukrainiennes, sur le site VirusTotal, à des fins d’analyse.

Autre fait des plus troublants : la localisation du nouveau programme malveillant sur les systèmes infectés. Précisément à l’emplacement suivant : C://ProgramData//MedocIS//MedocIS//ed.exe. Autrement dit, un chemin pointant vers une application utilisée en Ukraine pour la comptabilité et fournie par l’éditeur M.E.Doc. Or, c’est ce dernier qui est soupçonné d’être, à son insu très certainement, à l’origine de l’attaque par NotPetya. Les assaillants auraient détourné le système de mise à jour de cette société pour distribuer leur malware, selon plusieurs analyses, dont celles de Microsoft, Kaspersky et Cisco. Si M.E.Doc nie avec insistance toute implication dans l’infection, la société a néanmoins mandaté Cisco pour réaliser un audit de ses serveurs. Outre la distribution de NotPetya, ce dernier pourra peut-être établir le lien entre l’éditeur ukrainien et le clone de WannaCry.

Pas WannaCry, mais un clone de WannaCry

Car on parle ici bien d’un clone et non d’une variante du tristement célèbre ransomware. Seul réel point commun entre les deux malwares : l’interface utilisateur, avec la demande de rançon et le compte à rebours. Pour le reste, il s’agit bien d’une souche nouvelle, développée en .Net (et non en C comme c’était le cas de WannaCry), selon MalwareHunterTeam. De même, ce WannaCry revisité n’utilise pas la faille EternalBlue de la NSA pour se déployer sur les réseaux d’entreprise. Le ransomware, d’un bon niveau de sophistication, d’après MalwareHunterTeam, est piloté par un serveur de commande et contrôle utilisant le réseau d’anonymisation Tor et comprend une fonction inédite, consistant à fermer les processus en cours sur la machine avant de chiffrer les fichiers utilisés par les applications ouvertes.

C’est en fait la quatrième campagne de ransomware qu’essuie l’Ukraine en quelques semaines. A la mi-mai, Kiev, aux prises avec des séparatistes pro-russes à l’est du pays, était visé par XData, avant de subir les assauts de PSCrypt (la semaine dernière) et de NotPetya (à partir de mardi). De façon intéressante, toutes ces attaques ont tenté d’imiter des ransomwares connus, XData s’inspirant de AES-NI, PSCrypt de GlobeImposter et NotPetya de Petya. Et, comme l’ont montré des analyses en profondeur du code de ce malware – en particulier celles de Kaspersky et du chercheur Matthieu Suiche – la vocation de la variante de Petya qui a aussi fait des ravages en occident bloquant des entreprises comme Saint-Gobain, Maersk ou WPP, semble bien de faire le maximum de dégâts plutôt que d’amasser de l’argent.

Un ensemble d’indices qui donne corps à un scénario de moins en moins discuté parmi les experts : celui d’une utilisation des ransomwares dans le cadre d’une attaque sponsorisée par un État et visant désorganiser une économie et à geler le fonctionnement d’infrastructures critiques en Ukraine.

A lire aussi :

Petya : 5 questions pour comprendre le ransomware qui terrorise les entreprises

WannaCry : le ransomware qui n’a plus besoin du phishing

Jean-Louis Lanet, Inria : « si le ransomware parfait existait… »