La journée d’hier a été marquée par de nombreuses analyses sur le malware Petrwrap/Petya. Mais celles parues hier soir ont commencé à faire pencher l’affaire dans une autre direction : il ne s’agit pas d’un « vrai » ransomware. Un faisceau d’éléments tend vers une volonté de détruire, maquillée en campagne de rançonnage.
Les caractéristiques techniques de Petrwrap/Petya/Petna/SortaPetya/GoldenEye sont connues dans les grandes lignes. Comme nous l’indiquions hier, il se présente initialement sous la forme d’un ransomware reprenant certaines parties de Petya, apparu l’année dernière.
Propagation sur les réseaux locaux via SMB, chiffrement de la MFT (Master File Table), remplacement du MBR (Master Boot Record), chiffrement des fichiers les plus utilisés, demande de rançon en bitcoin… Petrwrap propose à s’y méprendre des attributs très classiques. Mais maintenant que les chercheurs ont eu davantage de temps pour le dépiauter, il révèle des secrets qui changent radicalement les perspectives sur cette vague d’infections.
Des éléments troublants
Le principe d’un ransomware est simple. Une fois qu’il a contaminé la machine, il chiffre toutes les données de l’utilisateur en puisant dans une liste d’une soixantaine de types de fichiers (photos, vidéos, documents Office, PDF, archives Zip et RAR, etc.). Après quoi il réclame une rançon pour leur redonner accès. Selon l’importance des fichiers, certaines victimes se laissent tenter, alors que la recommandation générale est de ne pas le faire, aucune garantie n’étant possible.
Petrwrap réclame l’équivalent de 300 dollars en bitcoins, mais tout ransomware cherchant à collecter efficacement de l’argent facilite autant que possible cette étape. Le chercheur « the grugq » a été l’un des premiers à mettre en évidence des incohérences dans Petrwrap. Par exemple, une seule adresse Bitcoin pour envoyer la somme demandée, là où la plupart des ransomwares en proposent plusieurs.
D’autres éléments sont tout aussi curieux. Par exemple, l’utilisation d’une adresse email unique (fermée depuis) pour communiquer avec les pirates. Ajoutons à cela que la victime doit entrer à la main une longue suite de caractères, censément l’identifiant d’infection. Pourquoi ne pas chercher à simplifier ce processus et donc augmenter les chances qu’un utilisateur ouvre son porte-monnaie ?
Petrwrap n’est pas vraiment un ransomware
L’avis de The grucq est que Petrwrap utilise sa ressemblance avec Petya pour brouiller les pistes. Oui il en reprend des parts non négligeables, mais la finalité est loin d’être la même : « Le vrai Petya était une entreprise criminelle pour faire de l’argent. […] Celui-là est conçu pour être diffusé rapidement et causer des dégâts, sous couverture plausible d’un ransomware ».
Même son de cloche désormais chez d’autres chercheurs et entreprises. C’est par exemple le cas du côté de Matthieu Suiche, que nous avions interrogé pour WannaCrypt. Dans un billet de blog, il établit une comparaison de Petya et Petrwrap. Il se base sur une analyse du premier réalisée par Check Point et montrant que Petya agissait en trois phases :
- Étape 0 : remplacement du MBR et implantation d’un boot-loader spécifique
- Étape 1 : utilisation du boot-loader pour chiffrer la MFT
- Étape 2 : affichage des explications et de la procédure de paiement
Mais là où Petya chiffrait réellement les données, Petrwrap détruit littéralement les 25 premiers blocs de secteurs sur le disque, sans les avoir copiées et donc sans offrir la moindre méthode de récupération. Selon le chercheur, même si la victime obtenait une clé de déchiffrement, elle ne serait d’aucun secours.
En clair, Petrwrap chiffre les données sans se soucier de proposer une véritable récupération. Et si un ransomware cherchant véritablement à récolter des fonds ne s’embarrasse pas de redonner accès aux données, c’est probablement qu’il n’en est pas vraiment un. Du côté des pirates en effet, il est difficile d’inciter à payer si les victimes entendent rapidement dire que les données sont de toute façon perdues.
Kaspersky, dans un autre billet publié hier soir, est du même avis : Petrwrap n’est pas un ransomware. Comme d’autres chercheurs, l’éditeur considère désormais que le malware est un « wiper », autrement dit un effaceur de données. Il est diffusé pour détruire et provoquer des dégâts, pas pour récolter de l’argent.
La société russe apporte d’ailleurs un élément supplémentaire de preuve. La version 2016 de Petya fournissait ainsi un identifiant personnel d’infection unique correspondant à la machine de l’utilisateur. Dans le malware de 2017, l’identifiant est une séquence pseudo-aléatoire de caractères n’ayant aucun lien avec la machine. Encore une fois, la victime n’a aucun moyen de récupérer ses données, un message d’ailleurs clairement indiqué hier soir par Eugene Kaspersky dans un tweet.
Update on #NotPetya #ExPetr: threat actors CAN'T decrypt files. Don't pay ransom. It won't help -> https://t.co/Df7tGqXO2Q
— Eugene Kaspersky (@e_kaspersky) 28 juin 2017
La grande question des auteurs
Si Petrwrap n’est pas un ransomware et qu’il a pour objectif de détruire des données et de mettre la pagaille un peu partout, la question de l’identité des auteurs se fait encore plus pressante. Il existe en effet une différence de taille entre un groupe lâchant une menace sur le monde dans un but pécuniaire, et un autre qui n’en a que faire.
Un article de Wired soulevait hier à ce titre plusieurs éléments intéressants. La contamination a commencé mardi en Ukraine avant de s’étendre. Le pays, que nous décrivions récemment comme un terrain de jeu pour les auteurs de malwares, a donc été attaqué la veille de la célébration de sa Constitution, qui fête essentiellement l’indépendance du pays après la désagrégation de l’URSS.
Roman Boyarchuk, directeur du centre de cyberprotection ukrainien, a ainsi indiqué à nos confrères que l’attaque n’était « définitivement pas criminelle », avant d’ajouter : « Elle est probablement soutenue par un État ». Interrogé sur la possibilité que la Russie soit mêlée à l’affaire, le directeur semblait avoir un avis assez clair sur la question : « Difficile d’imaginer que quelqu’un d’autre aurait pu vouloir faire ça ». Difficile, mais pas impossible, surtout dans un tel domaine.
La plupart des chercheurs s’accordent en tout cas pour dire que l’aspect ransomware de Petrwrap n’était qu’une façade destinée à la presse, pour profiter du sillage laissé par WannaCrypt. On s’interroge quand même : s’il s’agit bien d’un maquillage, il est finalement assez peu travaillé.
Les concepteurs du malware ne pouvaient pas ignorer que leur code serait dans tous les cas analysé par les chercheurs et sociétés de sécurité. Les limites étranges sur la partie paiement, le faux identifiant ou encore l’adresse email rapidement fermée par Posteo ne pouvaient que faire rapidement voler en éclats le déguisement. Comparé à WannaCrypt, sur lequel pèsent également des soupçons de mascarade, Petrwrap semble avoir fait bien peu d’efforts.
Le décorticage du malware continue quoi qu’il en soit, et il y a fort à parier que d’autres informations aideront à établir un tableau général plus précis. Notez que d'un point de vue hygiène informatique, la finalité du malware importe peu. Les conseils donnés par l'ANSSI restent ainsi valables.
Commentaires (93)
Comme je pouvais le penser tout ceci n’est finalement qu’une rampe d’essai pour ceux qui sont les auteurs. D’ailleurs pointer la Russie ne me convainc pas vraiment étant donné que c’est bien trop évident et lorsque l’on connait la difficulté de découvrir un coupable dans ces cas là…
Moi qui travaille dans la sécurité, je trouve que finalement ces incidents ont un côté très positif car les DSI vont peut être enfin avoir les budgets pour s’équiper suffisamment et vont avoir la pression nécessaire pour accélérer les délais de mise à jour.
Il existe en effet une différence de taille entre un groupe lâchant une menace sur le monde dans un but pécunier, et un autre qui n’en a que faire.
C’est toute la différence entre les businessmen et les politiciens.
C’est Israel qui est derriere tout ca, uniquement pour vendre leurs matos de securité, apres c’est vrais que la Russie pourrait etre le coupable idéale, apres tout on sait tous qu’ils ont essayer de manipuler les elections de different pays..
réduire les délais non ?
" />
Nous avons de fins analystes en cyber-géopolitique ici 🤡.
Ca dépend de combien de délai on cause. Car si on se réfère à d’autres failles que celle de SMB-1, les mises à jours étaient sorties depuis beaucoup de mois…
+1 …j’arrête pas le dire aux gens …
Que veux-tu… Tout le monde n’a pas le niveau pour être intervenant sur BFM-TV.
" />
Le jour où cela arrivera, on rigolera (ou pas) lorsque le cloud d’amazon tombera comme il y a quelques temps.
Cependant, je doute que cela arrive un jour.
Tu parles de géopolitique alors qu’on ne sait même pas qui est derrière l’attaque !
" />
Alors, miroir magique
Le jour ou un malware du genre va toucher toutes les “solutions” de type cloud, on va rire je pense.
J’imagine le truc qui vire la Table de partition en plus des partitions EFI et secteurs de boots, de tous les médias de stockage histoire de simplifier les choses. xD
Personne pour se dire que ce malware a été créé pour faire prendre conscience aux gens des affres de la NSA en matière d’exploitation et non divulgation des failles, et la mise au rébus quasi systématique du budget mises à jour/sécurité dans les entreprises ?
Ils n’avaient pas encore la virtualisation !
" />
[mode BFM]
c’est les nord-coréens qui se font passer pour les russes paske ces derniers ne veulent pas foutre la patée à l’oncle SAM qui gène la corée du nord dans ses vues d’annexion de la corée du sud
[/mode]
c’est bon, j’ai réussi l’épreuve pour passer à la télé au JT ?
BFM-PC ?
" />
Le malware peut aussi simplement être un leurre pour couvrir des attaques plus ciblés, la NSA qui brûle ses outils en créant des virus atténués, un prototype un peu trop fonctionnel, ect ..
Toutes les hypothèses sont ouvertes à ce jour
y’a mieux comme source que O’Keefe à mon avis.
ou même que Bonifield comme source d’O’Keefe.
ces mecs là ne sont absolument pas dans la confidence des investigations.
T’exprimer, tu peux dire ce que tu veux.
Qu’on puisse penser que tu es fins analystes à la lecture de tes propos, libre aux autres.
Normalement ce n’est pas un ransomware mais un wiper. Il ne chiffre pas mais supprime.
Je suis persuadé que l’(es) auteur(s) doit(vent) bien se marrer en lisant les spéculations diverses et variées.
C’est bien en dix ans, les journeaux sont passés de virus a malware, il faut pas trop leurs demander…
Cataclysme est déposé par blizzard et il est arrivée depuis 7 ans…
pas forcément, justement. ^^
C’est toi qui le dis.
Après t’appelles ça comme tu veux ^^.’
Les vers et virus voués a détruire ou à paralyser un système était quasi exclusif à la fin des années 90 et leurs auteurs étaient souvent des “ados boutonneux”.
Il y a même une durant un temps des équipes de hackers qui s’affrontaient à coup “de qui flinguait le plus de machines”, et s’envoyaient des mots doux à travers le code de leurs virus.
Exemple :
C’est exacterment ce que je m’étais dit pour Megaupload à l’époque 
" /> 
" />
C’est trop gros, il pourront jamais tomber
Pour le fbi et la dea plus c’est gros, mieux c’est…
Tu as bien lu l’article, bon résumé
" />
A une lettre dans le pseudo, c’est toi le wiper
" />
tu préfères, sans doute, écouter “les vrais experts” sur les plateaux TV ?
pas moi !
Bon, c’est pas qui son les coupables, mais en ce moment quelques un des scénarios de livre de Tom Clancy (ici Cybermenace) commence déteindre sur la réalité.
" />
" />
J’attends les News sur NxI…
Puree, elle a bon dos la Russie en ce moment. Je pense qu’on devrait prendre plus de pincettes quand on annonce que tel pays est responsable, quand on sait que certaines agences peuvent attribuer leurs mefaits a n’importe qui.
Le coupable est un Penguin.
Il est temps de passer à Linux.
Ça pue Ducu !
😬
Question bête (oui j’arrive un peu après la bataille):
Si il ne détruit que la MFT, ne peut-on pas la recréer avec un scan complet du disque?
J’avais déjà eu des soucis de corruption que j’ai résolu ainsi, du haut de ma faible expertise dans le domaine.
Du coup, quel réel intérêt à part d’emmerder Mme Michu?
moi aussi, ET après je me fais MA PROPRE opinion
plutôt que “de boire” les avis* “des vrais experts”
(ils sont tellement “experts”que personne n’a vu arriver la crise des “Subprimes” 2008)
ils devraient être, un peu, plus humbles (modestes) et nous avertir (en mettant des balises” :
“voici MON analyse…blablabla…..“et de rajouter “mais, certaines personnes pensent le contraire”
nous informer (voici “le pour” ET “le contre) et de rester neutres, puis de nous laisser…………………….
* qui reste UN avis, parmi d’autres……moi aussi, j’ai un avis…..toi, tu en as un autre, etc …
j’ai, peut-être, pas la TV (comme eux) mais j’ai Internet !!!
Une relation de travail dont la femme bosse pour une multinationale gravement victime (60 000 personnes au chômage technique à cette heure) m’indique que la propagation n’a pas eu lieu par mail mais par l’intermédiaire d’une MAJ de leur soft de compta. Il semblerait que cette MAJ ait été truffée au wiper.
C’est un outil pour grosse boite et qui est semble-t-il assez répandu en Ukraine mais peu en France. Ça expliquerait pourquoi ce sont surtout des grosses boites qui ont été touchées et peu de boites françaises.
mouais.
tout le monde disait ça de MacOS à l’époque, et maintenant que des tas de gens sont sur mac on voit des virus et ransomware sur Mac aussi.
étant donné que c’est la masse qui attire, si tout le monde passe sur Linux, ça sera pareil.
Linux en ce sens c’est “mieux” parce que personne est dessus. ^^
après si tout le monde est sur windows c’est aussi parce que tout le monde est sur windows, même si aujourd’hui les soucis de compatibilité Win/Linux sont plus aussi terribles qu’avant.
reste que passer un parc conséquent de Win à Linux ça a aussi un coût non négligeable.
si c’est uniquement pour de la sécu faut réussir à le justifier tant en termes de risques qu’en terme de budget.
Moui, va falloir faire mieux je pense. Ça manque de corps, de substance. Une simple déformation manifeste des propos, c’est un peu le choix de facilité
" /> 
" />
Project Veritas met plus d’effort dans ses trolls, tu dois pouvoir le faire aussi
tout dépend qui fourni le contenu.
en l’occurrence le directeur des programmes santé qui s’exprime en caméra cachée à un quidam sur le contenu des investigations des services US, j’ai un léger doute. mais libre à toi de considérer que ce qu’il dit est vrai.
oh interessant !
Je vais lire tout ca des que je rentre :)
oui…..je pense, aussi que “c’est la course à l’échalote” cette histoire !
" />
étonnant ?
https://fr.sputniknews.com/international/201706291032039671-usa-medias-project-v…
kasperski fait une attribution “probable” des russes à priori.
kasperksi, oui. ^^
https://securelist.com/from-blackenergy-to-expetr/78937/
en gros ils trouvent des similarités assez fortes entre BlackEnergy et NotPetya.
j’adore.
la première phrase de l’article est déjà une connerie:
Tipiak !
Tu te rappelles des experts avant qu’on découvre l’identité de Merah ?
Tous a parler de serial killer a l’américaine… C’était à mourir de rire…
Il est temps de revenir à *BSD, ou VMS.
Pourquoi n’ai-je pas la moindre réponse synaptique devant les propos de l’officiel ukrainien selon lesquels la Russie serait derrière le malware ?
" />
La Russie, ce pays qui malgré un PIB équivalent à celui de l’Italie a le pouvoir d’être responsable d’à peu près tout sur cette planète…
Cette décennie m’aura appris à ne plus regarder les italiens de la même façon…