Visitez notre kiosque à CANSEC les 27-28 mai
En juin 2017, le rançongiciel NotPetya a frappé des milliers d'ordinateurs à travers le monde, concentrant plus de 60% de ses infections en Ukraine. Malgré ses similarités apparentes avec le rançongiciel Petya découvert en 2016, l'analyse révèle qu'il s'agit d'un maliciel entièrement nouveau aux capacités surprenantes.
Le vecteur d'infection initial pointe vers le logiciel de comptabilité ukrainien MeDoc. Les serveurs de l'entreprise auraient été compromis, permettant la distribution d'une mise à jour légitime en apparence mais contenant le maliciel. Cette méthode d'infiltration explique la concentration massive des infections en Ukraine, où MeDoc est largement utilisé.
NotPetya se distingue par sa méthode de chiffrement. Contrairement à WannaCry qui chiffre les fichiers individuellement, NotPetya cible directement la table MFT (Master File Table) du système de fichiers. Cette table contient toutes les informations nécessaires pour accéder aux fichiers sur le disque. En la chiffrant, le maliciel rend inaccessible l'ensemble du contenu du disque en une seule opération, une approche beaucoup plus dévastatrice.
L'analyse du binaire révèle l'utilisation d'une combinaison de chiffrement RSA et AES, ainsi qu'une liste de plus de 60 extensions de fichiers ciblées. Le maliciel planifie également un arrêt forcé du système exactement une heure après l'infection, ajoutant une pression temporelle sur les victimes.
La propagation de NotPetya repose sur l'exploitation de la vulnérabilité MS17-010 via l'exploit EternalBlue. L'analyse du trafic réseau montre une séquence d'attaque en deux étapes : d'abord, l'hôte infecté diffuse des requêtes ARP en broadcast pour découvrir les machines connectées au réseau local. Ensuite, dès qu'une machine vulnérable est détectée, NotPetya initie l'infection via le protocole SMB sur le port 445.
Cette méthode de propagation automatique permet au maliciel de se répandre latéralement à travers les réseaux d'entreprise sans intervention humaine, transformant chaque machine infectée en nouveau vecteur d'attaque.
L'élément le plus troublant de cette analyse concerne le mécanisme de rançon. Les victimes devaient envoyer leur paiement de 300$ en Bitcoin et contacter l'adresse de courriel wowsmith123456 @ posteo.net pour obtenir leur clé de déchiffrement. Or, cette adresse de courriel publique a été désactivée presque immédiatement après le début de l'attaque.
Pour un maliciel de ce niveau de sophistication technique, cette faille dans le processus de récupération des rançons semble incompréhensible. L'analyse conclut que NotPetya n'était jamais conçu comme un véritable rançongiciel, mais plutôt comme un outil de destruction de données se faisant passer pour un rançongiciel. Les zones d'ombre persistent sur les véritables motivations de ses créateurs.
