L’attaque du pseudo-ransomware NotPetya vient de connaître un curieux rebondissement. Après avoir bloqué des dizaines de milliers de machines dans plus de 65 pays, les auteurs de ce malware viennent de retirer une grande partie des rançons qu’ils ont reçu sur leur porte-monnaie bitcoin, pour la transférer sur un autre porte-monnaie bitcoin. Le montant transvasé est de 3,96 bitcoins, ce qui correspond à environ 8.900 euros. Au passage, les pirates ont effectué deux petits versements de 0,01 bitcoin – soit une vingtaine d’euros – à Pastebin et DeepPaste, deux sites qui permettent de publier des textes anonymes sur le web et qui sont fréquemment utilisés par les hackers.
Pourquoi cette somme de 8900 euros a-t-elle été transférée sur un autre porte-monnaie ? Que va-t-elle devenir ? Personne ne le sait. En tous cas, c’est bien peu comparé aux dégâts causés par NotPetya. C’est pourquoi d’ailleurs un certain nombre d’experts en sécurité pensent que le rançonnage n’est qu’un écran de fumée et que NotPetya est en réalité un logiciel de cybersabotage déguisé en ransomware. Evidemment, beaucoup de doutes subsistent.
Un nouveau message peu convaincant
Le mystère s’épaissit un peu plus avec la publication concomitante d’un nouveau message sur Pastebin et DeepPaste dans lequel les auteurs présumés de NotPetya réclament désormais le paiement de 100 bitcoins (224.000 euros) pour la fourniture d’une clé de déchiffrement générale permettant de débloquer « tous les disques durs (sauf les disques de démarrage) ». Les personnes intéressées sont invitées à contacter l’auteur du message au travers d’une messagerie secrète, accessible uniquement par Tor.
Le site Motherboard a tenté une prise de contact. La personne qui lui a répondu a proposé de prouver sa bonne foi en déchiffrant n’importe quel fichier victime de NotPetya. Motherboard lui a donc transféré un fichier chiffré par NotPetya, mais n’a pas reçu de réponse à ce jour. Pour Matt Suiche, chercheur en sécurité, cette nouvelle demande de rançon ne viserait qu’à « troller des journalistes ». « Les attaquants tentent clairement d’apporter encore plus de confusion auprès du public en modifiant la narration. Le wiper devient à nouveau un ransomware », estime-t-il. Bref, nous sommes encore loin de connaître la vérité sur NotPetya et les pirates qui se cachent derrière.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.