Pour gérer vos consentements :

Les auteurs de NotPetya font miroiter une clé de déchiffrement à 100 bitcoins

Après avoir bloqué beaucoup de serveurs et de PC dans le monde, le groupe à l’origine du malware NotPetya se lance dans une opération de communication ou plutôt dans une nouvelle phase d’extorsion, diront certains. En effet, le groupe offre aux victimes une clé de déchiffrement pour la modique somme de 100 bitcoins, soit environ 250 000 dollars.

Le proposition a été faite sur les sites DeepPaste et Pastebin. « Envoyez-moi 100 bitcoins et vous obtiendrez ma clé privée pour déchiffrer tous les disques durs (sauf les disques de boot) ». Le message comprend aussi deux adresses sur mega.nz, ainsi que différents éléments d’authentification.

Dans un entretien avec Motherboard, un des pirates lié au groupe justifie la forte somme demandée, car la clé est censée « déchiffrer tous les ordinateurs » infectés par le malware. Une information qui laisse à penser que « quelqu’un dispose d’une clé privée pour déchiffrer les données verrouillées par le malware NotPetya », constate Anton Cherepanov, chercheur chez Eset. Dans son analyse, ce dernier précise que « les fichiers de démarrage sont chiffrés avec une méthode différente de celle employée pour les autres fichiers des disques durs ». Or, dans son offre, le groupe de hackers indique bien que la clé vendue sert à déchiffrer tous les disques durs sauf les secteurs de boot.

Simple arnaque ?

En début de semaine, la plupart des analystes voyait en NotPetya un malware ayant pour principal objectif le sabotage des PC et des serveurs et non l’appât du gain. Les experts considéraient que même en payant la rançon d’un montant très peu élevé (0,3 bitcoin soit 200 dollars), il n’y avait, techniquement, aucune chance de récupérer les données. In fine, le retour sur investissement a été relativement faible pour les auteurs de la souche infectieuse, car le portefeuille des cybercriminels a atteint 3,96 bitcoins, soit un peu plus de 10 000 dollars. Les spécialistes ont d’ailleurs remarqué, en milieu de semaine, le transfert de cet argent virtuel vers une autre adresse d’origine inconnue.

La nouvelle proposition intervient également quelques heures après un raid de la police ukrainienne contre la société Intellect Service vendant le logiciel de comptabilité Medoc, considéré comme le vecteur de propagation initial de NotPetya. Les autorités ukrainiennes affirment que la société a travaillé avec la Russie pour « porter atteinte à la souveraineté ukrainienne » et qu’ils « étaient au courant qu’un virus était présent sur leur logiciel, mais n’ont pas réagi ». Même l’OTAN est intervenue sur cette affaire en expliquant que l’attaque pourrait constituer un acte de guerre, capable d’activer l’article 5 prévoyant l’assistance des pays touchés par les autres membres de l’organisation.

A lire aussi :

WannaCry et NotPetya laissent-ils les DSI de glace ?

Les Shadow Brokers plus gourmands sur leur service premium

Photo credit: portalgda via Visual Hunt /  CC BY-NC-SA

Recent Posts

Oracle choisit l’expertise Java et SQL pour son « IA qui code »

Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…

1 heure ago

EPEI (Daniel Kretinsky) vise Atos : les axes directeurs de sa proposition

EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…

3 heures ago

Onepoint veut reprendre Atos : les grandes lignes de son offre

Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…

6 heures ago

AWS prend ses distances avec VMware version Broadcom

Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…

1 jour ago

Avec ZTDNS, Microsoft essuie les plâtres du zero trust appliqué au DNS

Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…

1 jour ago

Atos sur la voie d’un sauvetage ? Point de situation

Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…

1 jour ago