Particulièrement destructrice, l'attaque ExPetr / NotPetya / Petya du 27 juin est l'un des incidents de cybersécurité les plus importants de l'année. Cependant, les motivations et l'objectif des attaquants restent un mystère. Au début de la campagne ExPetr, Kaspersky Lab a remarqué que la liste spécifique d'extensions utilisées par ExPetr était très similaire à celle du wiper KillDisk de BlackEnergy en 2015 et 2016. Les chercheurs de Kaspersky Lab suivent avec attention les activités du groupe Black Energy depuis plusieurs années et connaissent très bien cet acteur, connu en particulier pour ses attaques contre le secteur public. Les chercheurs de Kaspersky Lab se sont associés à leurs collègues de Palo Alto Networks pour identifier des similitudes entre les deux groupes, ce qui leur a permis de chercher toutes les connexions possibles entre les malwares de BlackEnergy et ExPetr. Les conclusions mettent au jour des ressemblances dans le code entre les deux familles de malware, bien qu'à ce stade, il ne soit pas possible d'affirmer l'existence d'un lien. «Comme pour Wannacry, il est très difficile de procéder à une attribution ou de faire le lien avec d'autres malwares connus. Nous lançons un appel à toute la communauté des experts en cyber sécurité pour nous aider à affirmer ou infirmer le lien entre BlackEnergy et ExPetr/Petya», a déclaré Costin Raiu, directeur de Global Research and Analysis Team, Kaspersky Lab. Les appels à renforcer la cyber sécurité se sont multipliés ces derniers mois, car l'existence d'un tel danger exige une coopération au niveau international. Si Aujourd'hui on assiste à des attaques qui interrompent les services, dans les transports ou les hôpitaux, mais ne mettent pas directement en danger la vie des personnes, les Etats craignent que ces attaques cherchent à faire des victimes bien réelles en provoquant des accidents dans la production ou la distribution d'énergie ou dans les transports terrestres ou aériens.
