De nombreux rançongiciels cessent de s’exécuter si un clavier russe est installé (2021)

 (krebsonsecurity.com)
4 points par GN⁺ 2025-06-30 | 1 commentaires | Partager sur WhatsApp
  • La plupart des rançongiciels cessent de s’exécuter si un clavier dans une langue des pays de la CEI, comme le russe ou l’ukrainien, est installé sur le système cible infecté
  • Cette technique d’évitement vise à empêcher les groupes criminels de faire d’organisations ou de particuliers de leur propre pays des victimes, afin d’échapper à l’attention des autorités locales
  • Le simple fait de changer la langue du clavier ne permet pas de se défendre contre tous les malwares ; il reste essentiel de respecter un ensemble de bonnes pratiques de sécurité
  • Ajouter une langue de clavier est simple, gratuit et n’entraîne pratiquement aucun effet secondaire
  • Même si des hackers russes contournaient cette mesure, leur risque juridique augmenterait, ce qui lui donne une certaine efficacité défensive

Effet préventif contre les infections par rançongiciel en installant un clavier russe/ukrainien

Détection de la langue du clavier et arrêt de l’exécution du rançongiciel

  • Dans de récentes discussions sur Twitter à propos des attaques par rançongiciel, il a été souligné qu’un très grand nombre de rançongiciels disposent d’un mécanisme de sécurité intégré qui interrompt leur exécution si un clavier virtuel en russe, ukrainien ou autre langue est installé sur Microsoft Windows
  • Il s’agit d’une méthode souvent utilisée par des malwares issus principalement d’Europe de l’Est
  • Par exemple, de nombreux rançongiciels n’infectent pas un système si une langue d’un pays de la CEI (Communauté des États indépendants) y est installée
  • L’objectif principal est de permettre à ces groupes criminels d’éviter les enquêtes judiciaires dans leur propre pays

Le cas Colonial Pipeline et le groupe DarkSide

  • Ce point a été mis en avant lors des discussions sur l’attaque par rançongiciel contre Colonial Pipeline
  • Cette attaque a été menée par DarkSide, un groupe de ransomware-as-a-service qui visait principalement les grandes entreprises
  • Les organisations criminelles basées en Russie interdisent en interne d’infecter l’Ukraine, la Russie et d’autres pays d’Europe de l’Est
  • Cette politique vise à éviter les enquêtes et les ingérences des gouvernements locaux

Cadre juridique en Russie et en Europe de l’Est

  • En Russie, une enquête officielle sur la cybercriminalité ne débute que si la victime est un ressortissant ou une entité du pays
  • Par conséquent, la méthode la plus sûre pour les criminels consiste à ne pas causer de dommages à des systèmes nationaux
  • En pratique, plusieurs groupes de rançongiciels, dont DarkSide et REvil, appliquent strictement cette politique

Détection de langue codée en dur dans le code

  • DarkSide et de nombreux autres malwares utilisent une liste codée en dur des langues des pays de la CEI et ne s’exécutent pas si l’une d’elles est installée sur le système
  • En réalité, d’innombrables malwares vérifient la langue du système pour décider de s’exécuter ou non

Limites de cette méthode d’évitement et efficacité réelle

  • Le simple fait d’installer un clavier russe ou une autre langue d’un pays de la CEI a un effet préventif contre certains rançongiciels
  • Mais cela ne protège pas contre l’ensemble des malwares, et une stratégie de défense multicouche reste indispensable
  • Les effets secondaires d’un changement de langue sont minimes. Même si la langue change par erreur, il est facile de revenir en arrière avec Windows+Spacebar

Possibles évolutions de la stratégie des attaquants

  • Certains experts estiment que les attaquants pourraient à l’avenir omettre la procédure de vérification de la langue
  • D’ailleurs, dans une version récente de DarkSide analysée par Mandiant, la vérification de la langue avait été supprimée
  • Mais dans ce cas, le risque juridique pour les criminels augmenterait fortement

Commentaires d’experts et « effet vaccin »

  • Allison Nixon de Unit221B explique que les hackers russes utilisent cette vérification de langue comme une forme de protection juridique
  • Ajouter cette langue et ce clavier peut jouer le rôle d’un « vaccin contre les malwares russes »
  • Si cette méthode était largement adoptée, les criminels seraient confrontés à un dilemme entre protection juridique et revenus
  • Comme les responsables sécurité occidentaux, les criminels auraient du mal à distinguer un vrai système local d’un système qui en a seulement l’apparence

Contournement de la détection d’environnement de machine virtuelle

  • Certains utilisateurs de Twitter ont aussi proposé d’ajouter une entrée de registre indiquant explicitement qu’il s’agit d’une machine virtuelle
  • Cette méthode a pu être efficace par le passé, mais comme beaucoup d’organisations utilisent aujourd’hui couramment des machines virtuelles, elle n’est plus considérée comme fiable

Comment ajouter facilement la langue

  • Lance James de Unit221B a créé et diffusé un script batch Windows de deux lignes permettant de faire croire qu’un clavier russe est installé
  • Ce script permet d’obtenir un effet d’évitement de l’infection sans télécharger de bibliothèque russe réelle
  • Avec la méthode classique, on peut aussi ajouter facilement une langue de clavier via « Paramètres → Heure et langue → Ajouter une langue »
  • Si, par mégarde, les menus s’affichent en russe après modification des réglages, il est possible de changer de langue avec la combinaison Windows+Spacebar

À lire aussi

1 commentaires

 
GN⁺ 2025-06-30
Commentaires Hacker News

  • L’idée est que si je fais en sorte que mon ordinateur ressemble à une sandbox d’analyse de malware, la plupart des malwares s’arrêtent pour éviter l’analyse ; ça donne l’impression d’un jeu du chat et de la souris

    • Comme la plupart des serveurs Windows tournent aujourd’hui dans des environnements virtualisés, cela n’est peut-être plus aussi efficace qu’avant, mais il est aussi possible de tenir compte d’autres indicateurs
    • Proposition facétieuse d’ajouter la chaîne VirtualBox dans le firmware
    • Il est mentionné que cela avait déjà été évoqué dans un autre post Hacker News auparavant, dans ce lien
    • Blague disant qu’il va maintenant falloir installer Ghidra sur chaque poste de travail
    • En réponse à l’affirmation « si je déguise mon ordinateur en sandbox, beaucoup de malwares s’arrêtent pour éviter l’analyse », quelqu’un objecte qu’il s’agit d’une inquiétude complètement différente. Il souligne que si un clavier russe est installé, le malware s’arrête pour éviter un risque juridique

  • Avis selon lequel il existe beaucoup de preuves que cette méthode (détection d’un clavier russe) a réellement fonctionné avec des groupes comme le ransomware Petya ou des groupes tels que Fancy Bear, Cozy Bear et Conti, principalement parce que le gouvernement russe garantit l’impunité tant qu’ils ne visent pas leurs propres citoyens
    Il est aussi dit que, dans certains cas, si l’on parle russe aux attaquants ou qu’on leur fait comprendre qu’on est russe, ils déchiffrent gratuitement le système

    • Commentaire exprimant sa curiosité sur la manière dont le « déchiffrement gratuit si l’on se dit russe » s’applique à l’ère de la traduction par IA, en rappelant aussi le cas d’anciens développeurs russes de shareware qui accordaient des licences gratuites aux Russes
    • Insistance sur le fait que les groupes de hackers russes connaissent très bien la politique du « ne pas faire de dégâts chez soi » (don’t piss inside the tent) et que tout le monde la comprend
    • Remarque selon laquelle la réalité n’est peut-être pas si simple : il y a des Russes partout, y compris parmi les employés des entreprises victimes, et quand la rançon se chiffre en millions de dollars, il ne suffira probablement pas de dire qu’on est russe ; il faudrait convaincre qu’il s’agit d’une entité réellement russe ou produire une preuve du type « mon père travaille au FSB »

  • Témoignage direct d’un Russe qui supprimait des winlocker des ordinateurs d’amis peu à l’aise avec la technologie à la fin des années 2000 ; ces malwares ne se contentaient pas de chiffrer les fichiers, ils affichaient une fenêtre impossible à fermer pour exiger de l’argent, avec parfois des formulations absurdes comme « merci pour le widget d’accès rapide aux sites pour adultes », souvenir à la fois étrange et amusant

  • Quelqu’un estime qu’il doit naturellement exister des malwares visant précisément les systèmes où un clavier cyrillique est activé, ce qui laisse entendre que le fait d’être dans un environnement russophone est aussi un critère vérifié par les attaquants

  • Partage d’un conseil selon lequel la meilleure méthode anti-malware sous Windows consiste à faire de son compte principal du quotidien un compte standard plutôt qu’un compte administrateur Il faudrait créer séparément un compte administrateur local avec un mot de passe différent ; ainsi, lorsqu’une tâche d’administration est nécessaire, comme installer un logiciel ou lancer PowerShell, une authentification administrateur distincte est requise, et l’apparition d’une fenêtre suspecte devient alors un signal qu’il y a un problème Le compte standard peut garder un mot de passe normal, quoique pas trop court, tandis que le compte administrateur peut avoir un mot de passe complexe ; c’est une approche particulièrement recommandée pour les proches peu à l’aise avec l’informatique

    • Objection : même sans droits administrateur, un malware peut faire beaucoup de choses ; il n’a pratiquement aucune contrainte pour accéder au système de fichiers de l’utilisateur ou se connecter à Internet, donc cette séparation des privilèges n’empêche ni l’exfiltration de données, ni le ransomware, ni la destruction de données
    • Réponse expliquant qu’on aurait été d’accord du début des années 2000 jusqu’en 2012, mais qu’après Vista, les malwares ont évolué pour s’adapter à l’UAC et fonctionner très bien avec un compte standard ; l’absence de droits administrateur n’aide donc plus vraiment à protéger les données. Exemple donné : effectuer les tâches les plus sensibles, surtout financières, sur un ordinateur physique distinct, ou essayer d’isoler les données sous Windows en séparant les comptes utilisateurs ; avis personnel ajoutant qu’un OS à isolation forte comme Qubes OS serait souhaitable, mais qu’il n’a pas encore été appris
    • Résumé disant qu’au fond, la description de l’utilisateur revient au même modèle que celui mis en place par défaut avec le User Account Control (UAC) depuis Windows Vista
    • Avis selon lequel les attaques de ransomware du crime organisé visent surtout les entreprises plutôt que les particuliers, raison pour laquelle on rencontre davantage le ransomware en environnement professionnel. L’exemple de Petya est cité pour évoquer des scénarios où, avec de simples privilèges utilisateur, on peut détourner des sessions administrateur sur le réseau interne ou obtenir des droits d’administrateur de domaine ; il est aussi expliqué qu’on peut supprimer ou chiffrer des données, ou dissimuler un malware, sans droits administrateur, et qu’un malware inclus dans un bundle logiciel peut être installé directement par l’utilisateur
    • Avec un lien vers la BD xkcd 1200, quelqu’un explique que la séparation des comptes a du sens sur des ordinateurs partagés entre plusieurs personnes, mais que, dans la plupart des cas de poste à utilisateur unique, l’intérêt pratique de séparer les droits administrateur reste limité ; conclusion : sur un PC personnel, cette séparation n’aide pas beaucoup à empêcher un piratage

  • Interrogation sur le fait de savoir si cette méthode fonctionne toujours après que Brian Krebs en a parlé publiquement en 2021

    • Affirmation selon laquelle la Russie et la Corée du Nord considèrent le ransomware comme une activité économique légitime et qu’il continuera à s’inscrire dans une stratégie de guerre hybride
    • Explication disant qu’il s’agit fondamentalement d’une question juridique et d’enquête : tant qu’on ne provoque pas le gouvernement russe, il existe une règle implicite de non-agression mutuelle. Il est souligné que le marché américain est bien plus ciblé que la Russie pour ce type de prédation, avec une statistique du FBI indiquant que les arnaques au virement frauduleux par email professionnel (BEC) ont causé 2,7 milliards de dollars de pertes rien qu’en 2024, ainsi qu’un cas traité par l’intervenant où un acteur de menace chinois s’est fait embaucher dans une entreprise américaine sous une fausse identité d’employé et a détourné des remises internes réservées au personnel, causant un million de dollars de pertes
    • Lien vers le rapport FBI 2024 sur la cybercriminalité

  • Simple remarque disant que le titre lui-même est drôle, avec l’idée implicite qu’il paraît naturel de supposer que la plupart des ransomwares viennent de Russie

  • Idée qu’un clavier russe pourrait au contraire rendre une machine plus attractive pour un malware de la NSA

    • Info annexe indiquant que la Russie, la Chine et d’autres pays interdisent Windows dans certains organismes gouvernementaux ou militaires sensibles et utilisent leurs propres distributions Linux

  • Court message ne laissant que le mot « 2021 »

    • Question sur le fait de savoir si l’Ukraine a été retirée des exceptions, avec l’observation que sa disposition de clavier est différente de celle du russe

  • Curiosité sur le fait de savoir si, au-delà de la disposition du clavier, les malwares vérifient aussi le fuseau horaire ou diverses autres informations lorsque l’heure change