Les chercheurs d’ESET établissent un lien entre les malwares NotPetya et Industroyer

Prochain article

Le ransomware NotPetya, que l’on ne présente plus, et Industroyer, le tout premier malware capable de frapper directement les systèmes industriels, seraient dus au même groupe de cybercriminels.

Bratislava, Slovaquie – 16 octobre 2018 – ESET, leader de la recherche cybersécurité en Europe et l’un des principaux fournisseurs européen de solutions de protection du poste de travail, a découvert des liens probants entre le groupe de cybercriminels TeleBots et Industroyer, le malware le plus puissant à cibler aujourd’hui les systèmes industriels, exploité notamment dans le cadre du blackout électrique qui a frappé Kiev, la capitale de l’Ukraine, en 2016.

Le groupe TeleBots est également à l’origine de NotPetya, le malware destructeur de disques durs qui a largement perturbé les opérations des grandes entreprises à travers le monde en 2017. Et il est aussi lié à BlackEnergy, un autre code malveillant utilisé dans le cadre du tout premier cyberblackout électrique en Ukraine, en 2015 (un an avant celui causé par Industroyer, toujours en Ukraine)

« Les spéculations concernant des liens éventuels entre Industroyer et TeleBots sont apparues juste après qu’Industroyer ait frappé le réseau électrique ukrainien », explique Anton Cherepanov, le chercheur responsable des analyses de Industroyer et NotPetya chez ESET. « Cependant il n’y avait pas de preuves publiques… jusqu’à aujourd’hui ! », poursuit le chercheur.

En avril 2018, ESET a observé le groupe TeleBots se remettre au travail en déployant une nouvelle backdoor baptisée « Exaramel ». Et l’analyse d’ESET indique qu’il s’agirait d’une version améliorée de celle qui était intégrée initialement à Industroyer. Autrement dit, il s’agit de la première indication permettant d’associer Industroyer à TeleBots.

« La découverte d’Exaramel montre que le groupe TeleBots est toujours actif en 2018 et qu’il continue d’améliorer ses outils et ses tactiques », conclue Anton Cherepanov.

Pour en savoir plus sur les preuves reliant Industroyer et TeleBots, référez-vous à notre billet sur le blog ESET WeLiveSecurity.

Note à l’attention des rédacteurs : lorsque les chercheurs ESET analysent des cyberattaques et traquent des cybercriminels, ils s’appuient pour cela uniquement sur des indicateurs techniques tels que des similitudes au sein du code source, des infrastructures de Command & Control communes ou encore des chaines d’exécution de malwares identiques. Mais ESET n’étant pas présent sur le terrain, que ce soit dans le cadre d’opérations de police ou de renseignement, nous ne suggérons aucune responsabilité étatique éventuelle dans ces attaques. 

CONTACT PRESSE

Darina Santamaria
Téléphone :+33 01 86 27 00 39 – 06 61 08 42 45
darina.j@eset-nod32.fr

À propos d'ESET

Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms.

À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 600 millions de postes dans le monde.
Pour plus d’informations :  www.eset.com/na/  Blog :  www.welivesecurity.com/fr/