04 juil

Un possible lien entre ExPetr et BlackEnergy

Publié le 4/07/2017

Particulièrement destructrice, l’attaque ExPetr / NotPetya / Petya du 27 juin est l’un des incidents de cyber sécurité les plus importants de l’année. Des liens auraient été établis avec... BlackEnergy.

Les motivations et l’objectif des attaquants restent un mystère. Au début de la campagne ExPetr, la cellule Kaspersky Lab a remarqué que la liste spécifique d’extensions utilisées par ExPetr était très similaire à celle du wiper KillDisk de BlackEnergy en 2015 et 2016. Les chercheurs de Kaspersky Lab suivent avec attention les activités du groupe Black Energy depuis plusieurs années et connaissent très bien cet acteur, connu en particulier pour ses attaques contre le secteur public.

Les chercheurs de Kaspersky Lab se sont associés à leurs collègues de Palo Alto Networks pour identifier des similitudes entre les deux groupes, ce qui leur a permis de chercher toutes les connexions possibles entre les malwares de BlackEnergy et ExPetr. Les conclusions mettent au jour des ressemblances dans le code entre les deux familles de malware – bien qu’à ce stade, il ne soit pas possible d’affirmer l’existence d’un lien.

« Comme pour Wannacry, il est très difficile de procéder à une attribution ou de faire le lien avec d’autres malwares connus. Nous lançons un appel à toute la communauté des experts en cyber sécurité pour nous aider à affirmer ou infirmer le lien entre BlackEnergy et ExPetr/Petya, » – Costin Raiu, Directeur, Global Research and Analysis Team, Kaspersky Lab.

Partager cet article :

Vous souhaitez reproduire cet article ?