Skip to content
Cyber Breaches
Recherche
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victime
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Perte
$10.00B
SecteurIndustrieTransportTélécomsFinanceSanté
PaysUkraineÉtats-UnisAllemagneRoyaume-UniFrance
GroupeSandwormGRU Unit 74455
Attaquants nommésSandworm Six (GRU Unit 74455)
CVECVE-2017-0144

Le 27 juin 2017, l'Unité 74455 de la GRU russe (connue publiquement sous le nom de Sandworm) a déployé NotPetya, un wiper destructeur déguisé en rançongiciel qui est devenu, en termes financiers, la cyberattaque la plus dommageable de l'histoire. La cible était l'Ukraine ; le rayon de l'explosion a atteint chaque multinationale possédant ne serait-ce qu'une seule filiale ukrainienne.

Ce qui s'est passé

Les opérateurs de Sandworm ont compromis l'infrastructure de mise à jour de M.E.Doc, un éditeur ukrainien de logiciel comptable dont l'outil de déclaration fiscale était installé sur environ 80 % des postes de travail des entreprises ukrainiennes. À 10h30 EEST le 27 juin — la veille de la fête de la Constitution ukrainienne — une mise à jour malveillante de M.E.Doc a déployé un wiper embarquant :

  • EternalBlue (CVE-2017-0144), l'exploit SMB de la NSA divulgué par les Shadow Brokers deux mois plus tôt
  • Une collecte d'identifiants de type Mimikatz
  • Une coquille de rançongiciel Petya modifiée comme couverture

La charge utile s'est propagée latéralement via EternalBlue et la réutilisation d'identifiants — avec une efficacité imparable. L'ensemble du parc informatique mondial de Maersk a été détruit en environ sept minutes : 4 000 serveurs et 45 000 postes de travail se sont éteints dans une vague coordonnée qui s'est propagée plus vite qu'aucun humain ne pouvait réagir.

La demande de « rançon » portait sur 300 dollars en bitcoin, à verser à un unique portefeuille codé en dur, sans aucune infrastructure par victime pour fournir un déchiffrement. En quelques jours, Cisco Talos et ESET ont confirmé qu'aucun déchiffrement n'était possible — le « chiffrement » du malware était une corruption destructrice, et non un chiffrement réversible. Il s'agissait d'un wiper se faisant passer pour un rançongiciel, une opération destructrice avec un écran de fumée.

Impact

  • A.P. Moller-Maersk : ~300 M$ de pertes directes + des semaines de perturbation des expéditions affectant environ 20 % de la capacité mondiale de conteneurs. Maersk a reconstruit l'intégralité de son parc informatique à partir d'un unique contrôleur de domaine survivant au Ghana, qui se trouvait hors ligne au moment de la vague.
  • Merck : ~870 M$ de pertes ; production pharmaceutique perturbée pendant des mois. A intenté un procès sur la couverture d'assurance et l'a gagné — le litige sur l'exclusion « acte de guerre » qui s'ensuivit a établi un précédent important pour la cyberassurance.
  • FedEx-TNT : ~400 M$ de pertes ; les opérations européennes de TNT ont effectivement été reconstruites à partir de zéro.
  • Mondelez : ~100 M$ de pertes ; lignes de production Cadbury à l'arrêt. Même litige d'assurance que Merck.
  • Saint-Gobain : ~220 M€ de pertes ; opérations françaises de matériaux de construction paralysées dans toute l'Europe.
  • Reckitt Benckiser, Beiersdorf, Cadbury, Nuance Communications, WPP, Heritage Valley Health System : chacun a déclaré des pertes se chiffrant en dizaines de millions.
  • Dommages mondiaux totaux : environ 10 milliards de dollars.

Attribution

En février 2018, les États-Unis, le Royaume-Uni, l'Australie, le Canada, le Danemark, l'Estonie, la Lituanie, la Norvège, la Lettonie et la Finlande ont conjointement attribué NotPetya à l'armée russe. Le 19 octobre 2020, le ministère américain de la Justice a rendu public un acte d'accusation visant six officiers nommés de la GRU Unit 74455 — Andrienko, Detistov, Frolov, Kovalev, Ochichenko et Pliskin — pour NotPetya et une série d'autres opérations de Sandworm.

Pourquoi c'est important

NotPetya est le cas canonique des dommages collatéraux d'une cyberattaque à l'échelle mondiale. La cible visée était l'Ukraine, mais le choix par Sandworm de M.E.Doc comme vecteur de chaîne d'approvisionnement — sachant qu'il était profondément implanté chez toute multinationale ayant des activités en Ukraine — garantissait une propagation mondiale. L'opération a également catalysé :

  • Le contentieux de cyberassurance sur l'« acte de guerre » (Merck c. ACE et al., Mondelez c. Zurich) qui a remodelé les clauses d'exclusion relatives aux attaques étatiques.
  • La Cyber Solarium Commission américaine de 2018 et les modifications ultérieures des règles de divulgation de la SEC concernant les incidents cyber significatifs.
  • La reclassification doctrinale du wiper-en-tant-que-rançongiciel comme une technique distincte, suivie séparément par chaque grand programme de threat intelligence.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
10.00B
USD · 10 000 000 000 $US
Rançon demandée
$300
Rançon payée
Refusée
  • Perte d’exploitation$8.50B
  • Remédiation$1.50B

Chronologie

  1. Les Shadow Brokers publient l'exploit SMB EternalBlue (CVE-2017-0144) dérobé à la NSA.

  2. Les opérateurs de Sandworm compromettent l'infrastructure de mise à jour de M.E.Doc, un logiciel comptable ukrainien utilisé par environ 80 % des entreprises ukrainiennes pour leurs déclarations fiscales.

  3. La mise à jour malveillante de M.E.Doc est diffusée à 10h30 EEST. Les premières infections commencent à se propager dans les réseaux ukrainiens en quelques minutes.

  4. L'ensemble du parc informatique mondial de Maersk est chiffré en environ 7 minutes via EternalBlue + déplacement latéral Mimikatz ; 4 000 serveurs et 45 000 postes de travail détruits.

  5. Merck, FedEx-TNT, Mondelez, Saint-Gobain, Reckitt Benckiser, Beiersdorf et Cadbury révèlent les impacts subis.

  6. Cisco Talos et ESET publient une analyse montrant que le mécanisme de paiement de la rançon était factice — aucun déchiffrement n'était possible. Confirmé comme un wiper, et non un rançongiciel.

  7. Les États-Unis, le Royaume-Uni, l'Australie, le Canada, le Danemark et d'autres attribuent conjointement NotPetya à l'armée russe.

  8. Le DOJ américain rend public l'acte d'accusation de six officiers de la GRU Unit 74455 pour NotPetya et d'autres opérations de Sandworm.

Sources

  1. justice.govhttps://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and
  2. wired.comhttps://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
  3. nato.inthttps://www.nato.int/cps/en/natohq/news_165039.htm

Incidents liés

WiperContenu

Wiper AcidRain contre Viasat KA-SAT

Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.

Victim
Viasat KA-SAT (abonnés en Ukraine et en Europe)
Loss
$100.0M
RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B