La cyberattaque mondiale par malware NotPetya (ou ExPetr parmi ses autres noms) a débuté en Ukraine et a essentiellement affecté des entreprises de ce pays. D'après les données de télémétrie de Microsoft, la plate-forme Windows 10 est résistante et la majorité des infections ont été observées sur des machines Windows 7.
Pour le Service de sécurité d'Ukraine (SBU), l'infection a été " planifiée et menée à l'avance. " Il partage l'avis de plusieurs experts en cybersécurité selon lesquels le malware a été déguisé avec l'apparence d'un ransomware mais avec pour réel but la destruction de données.
Dans un communiqué, le SBU estime que l'attaque a impliqué les mêmes groupes derrière des cyberattaques opérées en décembre 2016 : TeleBots et Blackenergy. Le premier est considéré comme une émanation du second. " Cela témoigne de l'implication des services spéciaux russes dans cette attaque. "
Kaspersky Lab ne fait pas directement mention d'une telle implication mais établit des liens entre des malwares de BlackEnergy et ExPetr. Des similitudes ont ainsi été débusquées au niveau des listes d'extensions ciblées pour les fichiers et leur formatage, ainsi qu'un partage de plusieurs parties de code et de chaînes de caractères.
ESET dévoile par ailleurs un partage d'infrastructure et une connexion entre d'anciennes opérations de BlackEnery et TeleBots, et trois ransomwares ayant visé l'Ukraine entre mars et juin, avec donc NotPetya pour la dernière en date.