L’enquête de la société de sécurité informatique ESET révèle que le virus Petya, qui a causé d’importants dommages dans le monde entier la semaine dernière, ressemble à des virus précédemment envoyés par un groupe de hackers sur des cibles ukrainiennes. L’attaque ne relevait donc pas d’un incident et ciblait spécifiquement l’Ukraine.
Dave Maasland, directeur d’ESET Pays-Bas, explique : “Le groupe de hackers supposément auteur de l’attaque, a utilisé une méthode d’attaque avancée connue sous le nom d’attaque de la chaîne d’approvisionnement. Auparavant, ce groupe, alors appelé le groupe TeleBots par ESET, visait principalement le secteur financier. La dernière attaque ciblait des entreprises basées en Ukraine. Le groupe a probablement sous-estimé la puissance du virus, ce qui a sans doute mené à ce que sa diffusion lui échappe complètement.”
La mise en lien de différentes attaques permet de conclure que Petya visait, dès le début, à causer un maximum de dommages et faisait partie d’une série d’attaques. Celles-ci ont à présent été reliées entre elles.
Parmi les preuves techniques, citons le fait que de précédentes attaques ont également utilisé un me.doc et que la liste des extensions est presque identique à celle du virus Killdisk de 2016. Par ailleurs, dans de nombreux cas, il s’est avéré impossible de récupérer les fichiers infectés. Cela indique clairement que le groupe TeleBots était également l’auteur de Petya et probablement déjà impliqué dans BlackEnergy.
L’enquête démontre que les sociétés touchées dans d’autres pays disposaient de connexions VPN avec des implantations ou business partners en Ukraine, ce qui a permis au virus de se propager très rapidement.
En collaboration avec Dutch IT-Channel.
