Les Hackers À L’Origine de « NotPetya » Réclament 256 000$ En Bitcoin

Il semble que les pirates informatiques responsables du virus sévère NotPetya qui a handicapé l’Ukraine la semaine dernière et infecté certaines des plus grandes entreprises industrielles au monde, réclament à présent plus de bitcoins pour débloquer les fichiers des victimes. De fait, ils exigent maintenant cent bitcoins, ce qui équivaut en ce moment l’étonnante somme de 256 000 dollars.

Dans un message publié sur le site Internet Pastebin, un utilisateur anonyme a écrit: « Envoyez-moi 100 bitcoins et vous aurez ma clé de déchiffrement pour décrypter n’importe quel disque dur (sauf les disques de démarrage). »

Les pirates informatiques ont aussi fourni des preuves confirmant qu’ils sont bien les hackeurs en possession d’une signature pour la clé de déchiffrement du logiciel malveillant. La clé a été vérifiée pour Forbes par deux chercheurs spécialistes des logiciels malveillants, les deux confirmant les faits corroborés par les hackeurs.

Qu’est-ce que cela signifie ? « Cela signifie que quiconque a posté ce message détient la clé de déchiffrement permettant de décrypter les données cryptées par le virus NotPetya, » explique Anton Cherepanov, chercheur en logiciel malveillant de l’entreprise technologique slovaque ESET. Anton Cherepanov fut le premier à vérifier la validité de la clé. « Avec cette clé on ne peut décrypter que des fichiers, pas des disques de démarrage. Dans le cas des disques de démarrage une méthode de cryptage différente est utilisée. » Après avoir infecté les PC, NotPetya crypte tout d’abord certains fichiers, puis passe au cryptage du disque de démarrage (la pièce de l’ordinateur qui gère le lancement du système d’exploitation et l’ensemble des données que celui-ci contrôle) après le redémarrage du PC.

En d’autres termes, les hackers qui ont formulé la demande de bitcoins sont sûrement les responsables de l’attaque informatique NotPetya, mais ils ne peuvent récupérer que certains fichiers, et non pas la totalité des disques durs. Un chercheur se faisant appeler MalwareTech, qui a lui aussi vérifié la légitimité de la clé, est resté perplexe quant à la question de savoir pourquoi les hackers n’ont pas fourni une vidéo de démonstration montrant un fichier débloqué par la clé, ce qui aurait prouvé d’entrée de jeu qu’ils étaient les véritables auteurs de NotPetya. Sur un forum du darknet, mis en lien dans le post du site Pastebin, l’administrateur Petya n’a pas répondu aux questions concernant cette vidéo de démonstration.

Des bitcoins qui ont la bougeotte

Par ailleurs, les hackeurs ont semble t-il déplacé des bitcoins d’un endroit à un autre. Mardi soir, le porte-monnaie qui servait à collecter les fonds provenant des victimes infortunées, auxquelles il a été demandé de rassembler 300 dollars en bitcoin, était presque entièrement vide. Deux petits transferts de 0.1 bitcoin ont servi de donations aux sites Pastebin et DeepPaste, les deux étant souvent utilisés par les hackers pour poster les détails de leurs aventures. La majeure partie des fonds restants, d’un total de 3.96 bitcoins, a été envoyée à une nouvelle adresse, inconnue.

« Au vu des données collectées, il est possible que les deux premières transactions, d’une petite somme, n’aient été qu’un test avant le déplacement du reste des bitcoins collectés dans le cadre de la demande de rançon, » suggère Giancarlo Russo, fondateur et PDG de l’entreprise de pistage de crypto-monnaie Neutrino, et ancien membre de l’entreprise italienne de sécurité informatique Hacking Team.

Au départ, les chercheurs craignaient que les fichiers ne fussent tout à fait irrécupérables. Tout d’abord parce que l’adresse email contrôlée par les hackers pour communiquer avec les victimes a été mise hors service par le fournisseur; ensuite, parce que la clé devant servir au disque de démarrage semblait inaccessible.

Si les dernières informations provenant des pirates informatiques laissent percevoir une lueur d’espoir, le montant élevé réclamé par ces derniers pousse les chercheurs à se demander s’il ne s’agit pas simplement d’un autre acte de désorientation commis intentionnellement par les cybercriminels. Des cybercriminels que l’Ukraine a déclaré soutenus par une nation: la Russie. Le Kremlin, en parallèle, nie ces allégations.