Plus d'une semaine après la propagation du virus NotPetya – et d'un "vaccin" imaginé par un expert israélien – les hackers à l'origine de l'attaque informatique se manifestent enfin pour demander une rançon en bitcoins.
Le rançongiciel, variante du virus Petya propagé en 2015, a durement touché l'Ukraine le 27 juin avant de s'étendre à d'autres pays. Des milliers d'infrastructures publiques et d'entreprises privées ont été infectées, dont la firme d'avocats internationale DLA Piper et l'entreprise britannique WPP.
250 000 dollars pour déchiffrer les fichiers infectés
Le 4 juillet, les hackers semblent enfin s'être manifestés, comme l'a repéré Motherboard. Ils ont posté sur DeepPaste et Pastebin un message proposant d'envoyer la clé de déchiffrement aux victimes du virus... contre la modique somme de 100 bitcoins, soit plus de 220 000 euros.
Une dizaine de minutes plus tard, le portefeuille des auteurs de la première infection Petya a été vidé. Il contenait 10 000 dollars (8 800 euros), mais les comptes bénéficiaires du transfert n'ont pu être identifiés. Quant à la demande de rançon de 100 bitcoins, aucun transfert d'une aussi grosse somme n'a été repéré jusque là.
Doute sur l'identité des hackers
Contactés par Motherboard sur un chat donné en lien dans le message, les auteurs présumés de l'attaque ont proposé aux journalistes de déchiffrer un fichier avec ladite clé pour prouver son fonctionnement. Le média américain a obtempéré, mais aucune réponse depuis.
Pour Matt Suiche, chercheur en cybersécurité et fondateur de Comae Technologies, les intentions des auteurs du messages sont floues. Ils cherchent probablement à "troller les journalistes" selon lui.
Rien n'assure d'ailleurs qu'il s'agisse bien des auteurs du rançongiciel NotPetya. The Verge souligne tout de même que le message est accompagné d'un fichier chiffré par NotPetya, une preuve efficace qu'il s'agirait bien des responsables de l'attaque.
Après la destruction, la rançon
Mais l'apparition de cette demande de rançon apparaît bien tard, plus d'une semaine après le début de l'attaque. La plupart des entreprises et grosses infrastructures touchées – seules cibles capables de réunir la somme demandée – ont déjà trouvé des solutions et nettoyé ou remplacé leurs systèmes.
"C'est une opération de destruction de données déguisée en rançongiciel"
Pour Matt Suiche, "c'est une tentative des hackers de créer encore plus de confusion chez leurs victimes, en transformant à nouveau l'attaque en ransomware". En bref, de se faire quand même un peu d'argent après avoir créé la panique pour le plaisir.
Car l'intention des hackers n'était pas de se remplir les poches, mais bien de détruire des données, et surtout de perturber l'économie ukrainienne. "C'est une opération de destruction de données déguisée en rançongiciel", avait alors expliqué Matt Suiche à France 24 le 30 juin dernier.
"Ils ont créé une situation de peur, d'incertitude et de doute", conclut l'expert en cybersécurité à Motherboard.
Quelque chose à ajouter ? Dites-le en commentaire.