Nouvelle Cyber attaque d’ampleur mondiale : NotPetya frappe les institutions et les entreprises à travers le monde

Nouveau rançongiciel : NotPetya, quelles différences avec les dernières cyber attaques ?

Une multitude d’attaques informatiques a touché le monde et plus particulièrement l’Europe depuis ce mardi 27 juin 2017. De nombreuses entreprises et administrations de différents pays sont victimes de cette cyber attaque de grande ampleur. Le malware NotPetya – bien qu’inédit – s’inspire des dernières cyberattaques, il présente des similitudes avec de nombreux malware Petya ou sa variante PetrWrap (malwares découverts en mars dernier), mais également avec WannaCry.

L’Ukraine massivement affectée par l’attaque NotPetya

NotPetya chiffrerait le contenu des machines infectées et réclamerait le paiement d’une rançon à hauteur de 300$ en échange de la clef de déchiffrement. En Ukraine : banques, métros, fournisseurs d’électricité, ordinateur du vice-premier ministre et même – selon un porte-parole – le réseau de la centrale nucléaire Tchernobyl ont été touchés par la cyberattaque. Les techniciens de la centrale nucléaire ukrainienne à l’arrêt ont ainsi été obligés de mesurer la radioactivité avec des compteurs Geiger.

Le virus qui s’appuie sur le même exploit que WannaCry se propage dans le monde

L’attaque continue de se propager. En France, Saint-Gobain a annoncé être victime d’une attaque, en Russie le pétrolier Rosneft s’est également dit en être la cible, le danois Maersk spécialiste du transport maritime également, etc.

Selon Costin Raiu, chercheur en sécurité de la donnée chez Kaspersky Lab, les tentatives d’infection se multiplieraient à un rythme comparable à celui de WannaCry alors que Symantec a d’ores-et-déjà confirmé que NotPetya, comme WannaCry utiliserait l’exploit EternalBlue pour se propager sur le réseau avant de bloquer la machine infectée.

Des différences significatives avec WannaCry…

A la différence de WannaCry qui utilisait l’exploit EternalBlue pour se propager sur internet, NotPetya ne s’appuie sur EternalBlue que pour se propager au sein du réseau local. NotPetya ne peut donc que se propager au sein du réseau et est donc moins infectieux que WannaCry.

Mais en plus d’EternalBlue, le rançongiciel s’appuie également sur un second exploit EternalRomance, lui aussi rendu public par les Shadow Brokers et surtout il est capable de récupérer les identifiants sur les machines infectées pour se propager.

…Mais des gains toujours aussi dérisoires

Il n’aura pas fallu attendre longtemps pour que les failles diffusées par le groupe pirate The Shadow Brokers soient à nouveaux utilisées pour une vague de cyber attaque de grande ampleur. Cependant là encore, les attaquants n’amassent à ce jour qu’une somme désuète de 3,99 bitcoins, soit environ 9000 euros, payée par 45 victimes si l’on se réfère aux transactions effectuées à l’adresse Bitcoin (1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX) indiquée par les attaquants sur le registre blockchain.

L’expertise au centre de notre stratégie de croissance