Petya : les sommes récoltées ont été transférées

Le 4 juillet 2017, les sommes récoltées par les hackers derrière la cyberattaque Petya ont été transférées vers un autre porte-monnaie Bitcoin. Les hackers chercheraient à brouiller les pistes.

Petya : l'argent versé par les victimes change de mains

C'est une découverte faite par les journalistes de Motherboard : les sommes que les victimes de l'attaque Petya ont transféré aux malfaiteurs ont soudain été acheminées vers un porte-monnaie différent. Une écriture visible sur le site Blockchain.info en atteste. À qui appartient ce nouveau porte-monnaie ? On ne le sait pas et on ne le saura sans doute jamais : l'anonymat, c'est tout le sens de Bitcoin.

Autre circonstance déroutante : une mystérieuse annonce a été postée sur les sites de messages anonymes DeepPaste et Pastebin. L'auteur de l'annonce invite les personnes infectées à lui envoyer 100 bitcoins (l'équivalent de 220 000 euros), en échange d'une clé capable de décrypter n'importe quel disque dur. Les journalistes de Motherboard lui ont alors demandé pourquoi le montant réclamé était si élevé. Réponse de leur interlocuteur anonyme : parce que cette clé est universelle. La personne à l'autre bout du fil a alors proposé de lui envoyer un fichier crypté par Petya pour prouver qu'il était capable de le décrypter. Défi relevé par Motherboard, pas par le mystérieux interlocuteur : celui-ci n'a toujours pas donné de ses nouvelles.

Petya : une nouvelle tentative d'extorsion ?

Les auteurs du malware Petya sont-ils effectivement derrière ce message posté sur DeepPaste et Pastebin ? Encore une fois, cette question restera sans doute sans réponse. Tout ce que l'on sait, c'est qu'une dizaine de minutes avant l'apparition du message, deux petites sommes sont parties du porte-monnaie Bitcoin récoltant les virements des victimes de Petya. La destination de ces fonds : les porte-monnaie Bitcoin utilisés par DeepPaste et Pastebin.

Selon Matt Suiche, un spécialiste de la sécurité informatique interrogé par Motherboard, il n'y a jamais eu de décryptage de fichiers cryptés par Petya. Car Petya n'est pas un ransomware mais un wiper, à savoir un logiciel dont le but est d'effacer les données de façon irréparable. En l'occurrence, il s'agit de les crypter sans qu'il soit possible de les décrypter. Les offres faites sur DeepPaste et Pastebin ne sont qu'une parade dont le but est d'extorquer encore plus d'argent à des victimes.

• Petya : plus qu’un ransomware, un wiper ?
• Malware NotPetya : la NSA impliquée malgré elle ?
• Des ransomwares Petya retrouvés dans des serveurs ukrainiens
• Créer ce fichier vous protège de Petya
• Attaque Petya : EternalBlue diffuse à nouveau un ransomware
• Petya : la parade à ce nouveau ransomware