NotPetya (ExPetr) : l'Ukraine accuse les services spéciaux russes

Le par  |  8 commentaire(s)
Petya

Un lien semble exister entre NotPetya et des attaques ayant précédemment visé l'Ukraine. Pour le Service de sécurité d'Ukraine, c'est la marque des services spéciaux russes.

La cyberattaque mondiale par malware NotPetya (ou ExPetr parmi ses autres noms) a débuté en Ukraine et a essentiellement affecté des entreprises de ce pays. D'après les données de télémétrie de Microsoft, la plate-forme Windows 10 est résistante et la majorité des infections ont été observées sur des machines Windows 7.

HackerPour le Service de sécurité d'Ukraine (SBU), l'infection a été " planifiée et menée à l'avance. " Il partage l'avis de plusieurs experts en cybersécurité selon lesquels le malware a été déguisé avec l'apparence d'un ransomware mais avec pour réel but la destruction de données.

Dans un communiqué, le SBU estime que l'attaque a impliqué les mêmes groupes derrière des cyberattaques opérées en décembre 2016 : TeleBots et Blackenergy. Le premier est considéré comme une émanation du second. " Cela témoigne de l'implication des services spéciaux russes dans cette attaque. "

Kaspersky Lab ne fait pas directement mention d'une telle implication mais établit des liens entre des malwares de BlackEnergy et ExPetr. Des similitudes ont ainsi été débusquées au niveau des listes d'extensions ciblées pour les fichiers et leur formatage, ainsi qu'un partage de plusieurs parties de code et de chaînes de caractères.

ESET dévoile par ailleurs un partage d'infrastructure et une connexion entre d'anciennes opérations de BlackEnery et TeleBots, et trois ransomwares ayant visé l'Ukraine entre mars et juin, avec donc NotPetya pour la dernière en date.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1971659
Pour l'Ukraine c'est toujours Poutine
Le #1971662
NotPetya ... Où comment utiliser un virus pour en faire un prétexte dans un conflit géopolitique.
Le #1971673
"Pour le Service de sécurité d'Ukraine, c'est la marque des services spéciaux russes"

C'est bizarre, je suis vraiment pas étonné !

Je viens d'apprendre par ailleurs qu'un jeune vient d'être arrêté car, sur un forum de jeux vidéo, il annonçait son intention de faire un attentat contre Macron... Probablement qu'il a été travaillé par les services secrets russes...

Avant, il y avait L'URSS et ses sempiternelles accusations portés contre les capitalistes occidentaux... Maintenant, j'ai bien peur que ça soit bientôt nous les propagandistes d'une "URSS" d'un genre nouveau.

Le #1971682
"la majorité des infections ont été observées sur des machines Windows 7."

Comment on est infecté par le malware?


Le #1971684
Sont vraiment cons, ces russes, ils s'auto-paralysent l'exploitation de pétrole et la sidérurgie en attaquant les voisins...
Le #1971686
yves64 a écrit :

"la majorité des infections ont été observées sur des machines Windows 7."

Comment on est infecté par le malware?


- Par une màj automatique (frauduleux) du logiciel conçu par "M.E Doc"
- Le malware scanne les ports 139/445 au sein du réseau local, les postes pas à jour (sans le correctif MS17-010), via la faille EternalBlue
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
- Il semble que la méthode du phishing ait aussi été employé.
Le #1971692
Est-ce similaire à l'attaque massive contre l'Estonie il y a quelques années, qui est partie d'un démontage d'une statue Russe ?

https://www.nextinpact.com/archive/36407-Estonie-attaque-DDoS-massive-Russie.htm


Le #1971694
yves64 a écrit :

"la majorité des infections ont été observées sur des machines Windows 7."

Comment on est infecté par le malware?


En ayant une machine windows sur un réseau local contaminé.

Pour être la source de contamination du réseau local, on peut par exemple ouvrir une pièce jointe Office, ou cliquer un certain lien sur le web etc. Le malware exploite des failles windows assez anciennes connues par la NSA et MS depuis des années mais non patchées (ils ont fait ça longtemps comme l'a expliqué Snowden pour pouvoir pénétrer n'importe quelle machine). Puis les Shadow Brokers sont passés par là et ont révélé ces anciennes failles Windows - qu'exploitaient la NSA - à tout le monde.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]