Une semaine après qu’une attaque au moyen du logiciel malveillant (Not)Petya ait paralysé plusieurs entreprises, une demande de rançon a été publiée sur le dark web. Les hackers présumés demandent 100 bitcoins, soit environ 230 000 euros, pour obtenir une clé de décryptage.
La saga de (Not)Petya se poursuit. Un groupe de hackers appelé “GoldenEye” a fait sa première communication publique au sujet de l’attaque. Le groupe a, en effet, publié une demande de rançon sur le dark web, l’internet anonyme sous-jacent. Dans cette communication, il demande 100 bitcoins, correspondant à environ 230 000 euros, en échange d’une clé qui pourrait permettre de récupérer certains fichiers cryptés par Petya.
L’attaque du logiciel malveillant a fait le tour du monde (en ciblant néanmoins surtout l’Ukraine) la semaine dernière. Parmi les victimes figurent de grandes entreprises telles que FedEx, Merck, Cadbury et AP Moller-Maersk. Il s’agit de sociétés qui pèsent lourd financièrement. Il est donc d’autant plus fou que le montant de la rançon du logiciel malveillant semble si amateur. L’écran demandait 300 dollars par ordinateur infecté et utilisait une adresse e-mail, presque immédiatement devenue inaccessible. Des chercheurs ont, en outre, rapidement indiqué que Petya ne serait pas un ransomware, mais plutôt un “wiper“. L’infection ne viserait donc pas à crypter des fichiers pour les libérer contre paiement, mais à causer un maximum de dégâts.
Authentique ou pas ?
Les auteurs de la demande de rançon semblent toutefois être les personnes cachées derrière l’attaque. La demande de rançon contient une signature pour la clé privée, qui semble authentique. “Cela signifie que les personnes qui ont posté ce message disposent d’une clé privée permettant de récupérer les données cryptées par le logiciel malveillant NotPetya”, a déclaré Anton Cherpanov, senior malware researcher pour ESET dans le magazine économique Forbes. ESET figure parmi les sociétés de sécurité ayant étudié l’authenticité de la signature. Il ajoute que si cette clé peut décrypter des fichiers, ce n’est pas le cas des disques de démarrage. Le logiciel Petya crypte les deux, mais utilise une méthode de cryptage différente pour les disques de démarrage. Les sociétés qui paient ne sont donc pas certaines de réellement récupérer leurs machines.
Les dernières évolutions amènent donc une lueur d’espoir, mais les chercheurs restent prudents. Certaines hypothèses tendent à penser que toute cette saga du ransomware n’est qu’une façade cachant une attaque de hackers de l’État russe visant l’infrastructure de l’Ukraine. En théorie, la rançon demandée aurait surtout pour but de détourner l’attention sur des cybercriminels “ordinaires”. Le prix élevé à présent demandé pour obtenir la clé laisse également supposer que les hackers ne sont peut-être pas sérieux au sujet de ce décryptage. Nous ne savons pas encore si des paiements ont déjà été effectués. Aucun rapport n’a, pour l’instant, été publié au sujet de transactions en bitcoins de cet ordre de grandeur.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici