Les auteurs de NotPetya font miroiter une clé de déchiffrement à 100 bitcoins

Le groupe à l’origine de NotPetya donne de ses nouvelles en proposant une clé de déchiffrement de son ransomware au prix de 100 bitcoins.

Après avoir bloqué beaucoup de serveurs et de PC dans le monde, le groupe à l’origine du malware NotPetya se lance dans une opération de communication ou plutôt dans une nouvelle phase d’extorsion, diront certains. En effet, le groupe offre aux victimes une clé de déchiffrement pour la modique somme de 100 bitcoins, soit environ 250 000 dollars.

Le proposition a été faite sur les sites DeepPaste et Pastebin. « Envoyez-moi 100 bitcoins et vous obtiendrez ma clé privée pour déchiffrer tous les disques durs (sauf les disques de boot) ». Le message comprend aussi deux adresses sur mega.nz, ainsi que différents éléments d’authentification.

Dans un entretien avec Motherboard, un des pirates lié au groupe justifie la forte somme demandée, car la clé est censée « déchiffrer tous les ordinateurs » infectés par le malware. Une information qui laisse à penser que « quelqu’un dispose d’une clé privée pour déchiffrer les données verrouillées par le malware NotPetya », constate Anton Cherepanov, chercheur chez Eset. Dans son analyse, ce dernier précise que « les fichiers de démarrage sont chiffrés avec une méthode différente de celle employée pour les autres fichiers des disques durs ». Or, dans son offre, le groupe de hackers indique bien que la clé vendue sert à déchiffrer tous les disques durs sauf les secteurs de boot.

Simple arnaque ?

En début de semaine, la plupart des analystes voyait en NotPetya un malware ayant pour principal objectif le sabotage des PC et des serveurs et non l’appât du gain. Les experts considéraient que même en payant la rançon d’un montant très peu élevé (0,3 bitcoin soit 200 dollars), il n’y avait, techniquement, aucune chance de récupérer les données. In fine, le retour sur investissement a été relativement faible pour les auteurs de la souche infectieuse, car le portefeuille des cybercriminels a atteint 3,96 bitcoins, soit un peu plus de 10 000 dollars. Les spécialistes ont d’ailleurs remarqué, en milieu de semaine, le transfert de cet argent virtuel vers une autre adresse d’origine inconnue.

La nouvelle proposition intervient également quelques heures après un raid de la police ukrainienne contre la société Intellect Service vendant le logiciel de comptabilité Medoc, considéré comme le vecteur de propagation initial de NotPetya. Les autorités ukrainiennes affirment que la société a travaillé avec la Russie pour « porter atteinte à la souveraineté ukrainienne » et qu’ils « étaient au courant qu’un virus était présent sur leur logiciel, mais n’ont pas réagi ». Même l’OTAN est intervenue sur cette affaire en expliquant que l’attaque pourrait constituer un acte de guerre, capable d’activer l’article 5 prévoyant l’assistance des pays touchés par les autres membres de l’organisation.

A lire aussi :

WannaCry et NotPetya laissent-ils les DSI de glace ?

Les Shadow Brokers plus gourmands sur leur service premium

Photo credit: portalgda via Visual Hunt /  CC BY-NC-SA