Les chercheurs de Kaspersky Lab ont découvert que PetrWrap menait des attaques ciblées contre des organisations. Nouvelle famille de logiciels malveillants qui utilise le module rançongiciel Petya original, PetrWrap est distribuée via une plateforme de Ransomware-as-a-Service.
Les créateurs de PetrWrap ont en fait développé un module spécial qui modifie le rançongiciel Petya initial en un clin d’œil, ce qui rend les auteurs impuissants face à l’utilisation non autorisée de leur maliciel. Cela pourrait attester d’une concurrence croissante sur le marché souterrain des rançongiciels.
Kaspersky Lab a découvert le ransomware Petya en mai 2016. Celui-ci ne chiffre pas seulement les données stockées sur un ordinateur mais modifie aussi le master boot record (MBR) du disque dur, ce qui empêche les ordinateurs contaminés de démarrer le système d’exploitation. Ce logiciel malveillant est un exemple remarquable du modèle Ransomware-as-a-Service. Dans celui-ci, les créateurs du rançongiciel proposent leur produit nuisible ‘on demand’, le diffusent par l’entremise de plusieurs distributeurs et engrangent une partie du bénéfice. Pour accéder à leur part du butin, les auteurs de Petya avaient ajouté à leur maliciel divers « mécanismes de protection » empêchant l’utilisation non autorisée d’échantillons de Petya. Les créateurs du cheval de Troie PetrWrap, dont les premières activités furent détectées début 2017, sont donc parvenus à contourner ces mécanismes et ont trouvé une manière d’utiliser Petya sans rétrocéder le moindre cent à ses auteurs.
Source : Kaspersky Lab