La cyberpolice ukrainienne est intervenue pour prévenir de nouvelles attaques à l’image de celle perpétrée la semaine dernière. L’attaque NotPetya - également appelée Diskcoder.c, ExPetr, PetrWrap et Petya - avait été d’abord considérée par les chercheurs comme une attaque de ransomware. Si NotPetya a ciblé des entreprises partout dans le monde, l'Ukraine a été particulièrement touchée parce que, comme l’ont constaté les chercheurs en sécurité, pour diffuser le malware, les premières attaques ont détourné le système de mise à jour automatique du logiciel de comptabilité et de fiscalité M.E.Doc très utilisé dans le pays.
Selon la police qui a analysé l’un des ordinateurs du développeur du logiciel, une porte dérobée a probablement été introduite dans M.E.Doc dès le 15 mai. Mercredi, les autorités ont annoncé qu’elles avaient saisi des ordinateurs et des logiciels du développeur de M.E.Doc après avoir repéré de nouveaux signes d'activités malveillantes pour analyse. Les enquêteurs espèrent que la mise hors circuit de ces machines empêchera une nouvelle diffusion incontrôlée du malware NotPetya utilisé dans la précédente attaque.
Pas un ransomware mais un wiper
Dans un premier temps, tout le monde pensait que Petya était un ransomware, mais il s’est avéré que le logiciel malveillant était incapable de déverrouiller les fichiers chiffrés. Ce seront donc un wiper. La police ukrainienne pense aujourd’hui que les auteurs de l’attaque ont utilisé le ransomware pour masquer une attaque encore plus destructrice. Les enquêteurs croient aussi que le malware a été créé par des hackers soutenus par un État dans le but de déstabiliser le pays. La police recommande de ne plus utiliser le logiciel M.E.Doc et de l’empêcher d’accéder au réseau. Ils espèrent que l’analyse des matériels saisis cette semaine leur permettra de créer un outil permettant de repérer et peut-être même de bloquer l’action malveillante du malware.