4 points par GN⁺ 2025-06-30 | 1 commentaires | Partager sur WhatsApp
  • De nombreuses variantes de ransomware intègrent un garde-fou qui interrompt l’installation si des claviers russe ou ukrainien sont installés sur Windows, une condition d’évitement largement observée dans les malwares originaires d’Europe de l’Est
  • Des ransomware-as-a-service comme DarkSide définissent des zones d’infection interdites pour éviter de faire des victimes en Russie, en Ukraine et dans d’autres pays d’Europe de l’Est, afin d’échapper à l’attention des forces de l’ordre locales
  • Après l’attaque contre Colonial Pipeline, DarkSide a affirmé être « apolitique », mais les conditions d’exécution géographiques du malware reflètent elles-mêmes des contraintes géopolitiques
  • Ajouter un clavier russe ou des valeurs de registre associées peut constituer une mesure préventive gratuite contre certains malwares d’origine russe, sans toutefois remplacer une défense en profondeur ni de bonnes habitudes de sécurité
  • Les attaquants peuvent supprimer cette vérification linguistique, mais Allison Nixon, de Unit221B, estime que les hackers russes devraient alors choisir entre la perte de protection juridique et la perte de revenus

Les langues et régions que les ransomwares évitent

  • De nombreuses variantes de ransomware vérifient si certains claviers virtuels sont installés sur les systèmes Microsoft Windows, et interrompent l’installation si des langues comme le russe ou l’ukrainien sont détectées
  • Les opérateurs de malwares ajoutent ce type de sécurité intégrée pour éviter de faire des victimes dans leur propre région
  • La zone de la Communauté des États indépendants (CEI) recoupe largement la liste d’exclusion d’infection de nombreux malwares venus d’Europe de l’Est
  • DarkSide comporte lui aussi une liste codée en dur de pays où l’installation est interdite, correspondant aux principaux membres de la CEI, liste rendue publique par Cybereason

Le cas Colonial Pipeline et DarkSide

  • Cette discussion est liée à l’attaque par ransomware contre Colonial Pipeline
    • L’attaque a interrompu pendant près d’une semaine un pipeline de carburant de 5 500 miles plus tôt ce mois-ci
    • Elle a entraîné des pénuries dans les stations-service et une hausse des prix dans tout le pays
    • Le FBI a attribué l’attaque à DarkSide
  • DarkSide est une structure relativement récente de ransomware-as-a-service qui affirme ne viser que les grandes entreprises
  • DarkSide et d’autres programmes d’affiliation russophones bloquent depuis longtemps l’installation de malwares sur des ordinateurs situés en Russie, en Ukraine et dans plusieurs autres pays d’Europe de l’Est

Pourquoi cet évitement géographique est utilisé

  • En Russie, il est généralement admis que les autorités n’ouvrent pas d’enquête sur une cybercriminalité visant des entreprises ou particuliers nationaux tant qu’aucune plainte officielle n’a été déposée
  • Pour les criminels, empêcher l’apparition de victimes dans leur propre pays est le moyen le plus simple d’échapper au radar des forces de l’ordre nationales
  • Après avoir été mentionné dans le décret présidentiel de Joe Biden sur la cybersécurité, DarkSide a tenté de prendre ses distances avec l’attaque contre Colonial Pipeline
    • Sur son blog de divulgation des victimes, le groupe s’est présenté comme « apolitique »
    • Il a affirmé que son objectif était de gagner de l’argent, pas de créer des problèmes pour la société
    • Il a déclaré qu’à l’avenir il examinerait les entreprises que ses partenaires comptent chiffrer afin d’éviter des conséquences sociales
  • Pourtant, des organisations d’extorsion numérique comme DarkSide conçoivent leurs malwares pour qu’ils ne fonctionnent que dans certaines régions, ce qui montre que la plateforme elle-même reflète des conditions politiques régionales

REvil, GandCrab et les listes d’exclusion d’infection

  • Des experts en sécurité ont depuis longtemps relevé des liens entre DarkSide et REvil, aussi connu sous le nom de Sodinokibi
  • REvil, auparavant connu sous le nom de GandCrab, et GandCrab comme REvil interdisaient tous deux à leurs affiliés d’infecter des victimes syriennes
  • La liste d’exclusion de DarkSide inclut elle aussi la Syrie
  • DarkSide a ensuite annoncé l’arrêt de ses activités en affirmant que ses serveurs et ses fonds en bitcoins avaient été saisis, un épisode qui a mis en lumière son lien avec REvil

Les limites de l’installation d’un clavier russe

  • Installer une langue comme le russe ne rend pas un ordinateur Windows sûr face à tous les malwares
  • De nombreux malwares ne tiennent aucun compte de la localisation ni de la langue
  • Cette méthode ne remplace ni une défense en profondeur ni l’habitude d’éviter les comportements risqués en ligne
  • L’inconvénient est limité, mais il peut arriver de basculer par erreur les paramètres linguistiques et de voir les menus s’afficher en russe
    • Dans ce cas, appuyer simultanément sur la touche Windows et la barre d’espace permet de passer rapidement d’une langue installée à l’autre

Les attaquants peuvent-ils modifier cette vérification linguistique ?

  • Les attaquants réagissent avec sensibilité aux contre-mesures qui réduisent leur rentabilité et peuvent modifier leurs malwares pour ignorer la vérification de langue
  • En pratique, une version récente de DarkSide analysée par Mandiant n’effectuait pas de vérification de la langue système
  • Allison Nixon, de Unit221B, estime que supprimer cette vérification augmente de façon non négligeable les risques pesant sur la sécurité personnelle et les biens des attaquants
  • Selon Nixon, les hackers russes utilisent ces vérifications pour ne viser que des victimes hors de Russie, en raison de la culture juridique particulière du pays
  • Le simple fait d’installer un clavier cyrillique ou de modifier certaines entrées du registre en RU peut suffire pour que certains malwares considèrent l’utilisateur comme russe et l’excluent de leurs cibles

La pression que pourrait créer une adoption à grande échelle

  • Nixon estime que si beaucoup de personnes recourent à cette méthode, elle pourrait protéger certains utilisateurs à court terme
  • À long terme, les hackers russes pourraient devoir accepter soit le risque de perdre leur protection juridique, soit le risque de perdre des revenus
  • Comme les défenseurs occidentaux, ils auraient alors de plus en plus de mal à distinguer de vrais ordinateurs domestiques de machines étrangères qui se font passer pour des ordinateurs nationaux

Contournement de la détection des VM et méthode par le registre

  • Certains lecteurs ont aussi proposé d’ajouter au registre Windows des éléments donnant l’apparence d’une machine virtuelle (VM)
  • Lance James, de Unit221B, estime que le fait d’être ou non une VM bloque moins efficacement les malwares qu’auparavant
    • Parce que beaucoup d’organisations utilisent désormais des environnements virtuels pour leurs tâches quotidiennes
    • De nombreux ransomwares observés aujourd’hui s’exécutent aussi dans des VM
  • James soutient l’idée d’ajouter les langues de la liste des pays de la CEI et a créé un script batch de deux lignes qui fait croire qu’un PC Windows a un clavier russe installé
  • Ce script ajoute une référence au russe dans certaines clés spécifiques du registre Windows vérifiées par les malwares, sans télécharger de bibliothèque de scripts supplémentaire depuis Microsoft

Comment ajouter une langue dans Windows 10

  • Pour installer directement une autre langue de clavier dans Windows 10, appuyez sur la touche Windows et X, puis sélectionnez Settings
  • Ensuite, choisissez « Time and Language », puis dans le menu Language, l’option permettant d’installer un autre jeu de caractères
  • La langue sera installée au prochain redémarrage
  • Lorsqu’il faut changer de langue, utilisez le raccourci Windows+Spacebar

1 commentaires

 
GN⁺ 2025-06-30
Avis sur Hacker News
  • Si vous faites en sorte qu’une machine ressemble à un bac à sable d’exécution de malware, beaucoup de malwares se terminent pour éviter l’analyse
    Au final, ce genre de chose fait partie du jeu du chat et de la souris

    • Les malwares sophistiqués vérifient le nombre de cœurs CPU du PC, la capacité du disque dur, et certains vont jusqu’à regarder la température du matériel ou la présence d’un débogueur
      Les malwares Windows sont devenus assez sophistiqués au cours des 30 dernières années
    • De nos jours, la plupart des serveurs Windows sont virtualisés, donc je ne sais pas trop si cette méthode fonctionne encore
      Mais ils peuvent regarder d’autres indicateurs
    • Il suffit de mettre des chaînes VirtualBox dans le firmware :)
    • C’est aussi mentionné dans un autre article en une, et cette soumission vient probablement de là : https://news.ycombinator.com/item?id=44413185
  • Il y a des éléments montrant que cela a fonctionné contre des ransomwares comme Petya, ou des groupes comme Fancy Bear, Cozy Bear et Conti
    En gros, parce que le gouvernement russe garantit officieusement l’impunité tant que la cible n’est pas russe
    Et si vous dites que vous êtes russe, ou que vous écrivez en russe dans un chat ou un e-mail, ils peuvent même déchiffrer votre système gratuitement

    • Je me demande comment ça fonctionne à l’ère de la traduction par IA
      Ce n’est pas exactement la même chose, mais je me souviens d’un développeur russe de shareware qui donnait des licences gratuites aux Russes
    • Je ne pense pas que ce soit si simple
      Il y a des Russes partout, et ils peuvent travailler dans l’entreprise victime ; donc si la rançon se chiffre en millions de dollars, le simple fait d’être russe ne suffira sans doute pas
      Il faudrait probablement les convaincre que l’entreprise appartient à des Russes, ou que votre père travaille au FSB, ce genre de chose
    • Voilà le point essentiel
      La politique consistant à ne pas pisser dans la tente est bien comprise par presque tous les groupes russes
    • Je pense que la raison pour laquelle ils évitent d’attaquer des Russes, c’est que si la victime porte plainte à la police, celle-ci est obligée d’ouvrir une enquête
      Les étrangers ne posent pas ce genre de problème
      Je ne pense pas qu’il existe une impunité particulière
      Cela dit, les étrangers peuvent parfois aussi poser problème
      Récemment, plusieurs spécialistes cyber ont été condamnés après une enquête lancée à la suite d’un signalement de Joe Biden
  • En tant que Russe qui a beaucoup supprimé de winlockers sur les ordinateurs de camarades d’école peu à l’aise avec la technologie à la fin des années 2000, j’ai du mal à être d’accord :D
    Cela dit, ces trucs-là étaient sans doute moins sophistiqués
    Ils ne chiffraient pas les fichiers, mais affichaient une fenêtre impossible à fermer qui exigeait un paiement
    Parfois, il y avait même des messages amusants du genre « merci d’avoir installé le widget d’accès rapide aux sites pour adultes »

  • Je serais plutôt surpris qu’il n’existe aucun malware ciblant uniquement les systèmes où un clavier cyrillique est activé

    • Il existe beaucoup de types de claviers cyrilliques
      N’attaquez pas les Bulgares, s’il vous plaît :)
    • Évidemment, des agences comme la CIA doivent distinguer leurs cibles
  • Sur n’importe quelle version de Windows, la meilleure défense contre les malwares a toujours été de faire du compte utilisé au quotidien un compte non administrateur
    Il faut aussi créer un compte administrateur complet séparé, qui peut être un compte local
    Le mot de passe doit impérativement être différent
    Chaque fois que vous devez installer quelque chose ou lancer PowerShell/CMD en administrateur, une fenêtre demande la connexion séparée au compte administrateur
    C’est fondamentalement la même approche que sudo sous Linux, et c’est aussi la manière dont un vrai service informatique professionnel exploite Windows
    Si une fenêtre d’élévation de privilèges apparaît alors que vous ne l’avez pas déclenchée vous-même, vous savez que quelque chose ne va pas, et la plupart des malwares ne pourront pas s’installer
    On peut aussi utiliser un mot de passe relativement ordinaire, mais pas trop court, pour le compte standard, et un mot de passe bien plus complexe pour la connexion administrateur
    C’est particulièrement utile pour les personnes qui risquent de mal cliquer, comme sur un « PC de grand-mère »

    • Un malware peut faire beaucoup de choses sans « installation »
      Même exécuté avec les droits d’un utilisateur non privilégié, il peut faire n’importe quoi dans le système de fichiers auquel cet utilisateur a accès, et dans la plupart des configurations grand public, les connexions Internet sortantes sont aussi possibles sans restriction
      Autrement dit, cette séparation des privilèges ne protège pas contre l’exfiltration de données, les ransomwares visant les fichiers importants de l’utilisateur, ni les simples dégradations
    • J’aurais été d’accord du début des années 2000 jusqu’à environ 2012
      Depuis Vista, les malwares se sont adaptés à l’UAC, et aujourd’hui tous les malwares fonctionnent très bien avec de simples droits utilisateur
      Les données auxquelles un utilisateur standard a accès, qu’elles soient locales ou sur un serveur CIFS distant, deviennent des cibles pour les ransomwares
      Restreindre les droits administrateur n’empêche pas un malware d’accéder aux données
      La persistance aussi s’est déplacée vers des méthodes par utilisateur, sans droits administrateur
      Tous ces Chromium personnalisés quasi malveillants que les utilisateurs installent en cherchant des logiciels pour contourner le service informatique fonctionnent de la même manière
      Je pense tout de même qu’il ne faut pas donner de droits administrateur aux utilisateurs Windows au quotidien
      Mais contre les malwares, cela n’aide pas beaucoup
      Pour les activités les plus sensibles, principalement la banque en ligne, j’utilise une machine physiquement séparée, mais on peut obtenir presque le même effet avec une connexion Windows non administrateur distincte et en cloisonnant l’accès aux données qui ne doivent pas être prises en otage par un ransomware
      L’isolation entre comptes utilisateurs différents sous Windows est en réalité plutôt correcte ; il suffit donc de limiter les données auxquelles les comptes ont accès en commun
      Personnellement, je voulais utiliser Qubes pour arrêter d’avoir recours à une machine physiquement séparée, mais je n’ai pas trouvé le temps d’apprendre ses particularités
      Correction : j’aurais dû dire « Chromium personnalisé quasi malveillant », pas Chrome
    • Ce que vous venez de décrire ressemble à ce que fait le contrôle de compte d’utilisateur (UAC) depuis Windows Vista, donc depuis 2006
    • En général, les particuliers ne sont pas la cible des attaques de ransomware menées par le crime organisé
      Les entreprises paient souvent bien plus cher pour récupérer leurs données, et le ransomware Petya en est un bon exemple
      Cela dit, si un intrus dispose de droits utilisateur standard sur une machine, il peut rechercher activement des comptes administrateur sur cette machine et le réseau, et voler des sessions
      L’objectif final est d’obtenir des droits Domain Admin
      En dehors de cela, il n’est pas forcément nécessaire d’avoir des droits administrateur pour supprimer ou chiffrer des données, ni pour exécuter ou dissimuler des logiciels
      Outre le détournement de session, il existe de nombreuses façons d’obtenir des droits administrateur : logiciels non corrigés, droits utilisateur inadaptés, zero-days, ingénierie sociale, etc.
      Une méthode courante consiste aussi à intégrer un malware ou un ransomware à un logiciel utile que l’utilisateur souhaite installer
    • Sur n’importe quelle version de Windows, la meilleure défense contre les malwares, c’est de ne pas utiliser Windows
  • À propos de « y a-t-il un inconvénient à prendre cette mesure de prévention simple et gratuite ? À mon avis, non », l’inconvénient qui me vient immédiatement à l’esprit est l’augmentation des coûts de support quand des utilisateurs changent de clavier par erreur.
    Les raccourcis de changement de clavier ne sont généralement pas difficiles à déclencher par inadvertance, et la plupart des utilisateurs américains, en particulier, ne sauront probablement pas ce qu’ils ont fait ni comment revenir en arrière.

    • Je ne suis pas utilisateur de Windows, mais un administrateur système ne peut-il pas activer ce clavier tout en désactivant les raccourcis de bascule ?
  • Je me demande si cela fonctionne encore vraiment, même après que Brian Krebs l’a rendu public dans le monde entier en 2021.

    • C’était déjà le cas à l’origine, et cela continuera de l’être.
      La Russie et la Corée du Nord considèrent les ransomwares comme une activité économique légitime.
      Cela fait partie d’une stratégie de guerre hybride.
    • Oui, absolument.
      C’est surtout une question d’appréciation juridique et d’application de la loi.
      Si vous évitez les autorités russes, elles vous éviteront aussi.
      En outre, la Russie n’est pas un terrain de cibles aussi fertile que les États-Unis.
      Aux États-Unis, il y a beaucoup d’employés de bureau débutants et mal payés prêts à mettre à jour des informations de paiement fournisseurs après s’être fait piéger par une compromission d’e-mail professionnel (BEC).
      En 2024, les pertes liées au BEC se sont élevées à 2,77 milliards de dollars, ce qui en faisait la catégorie la plus lucrative, et les pertes totales aux États-Unis ont atteint 16 milliards de dollars pour 859 532 signalements.
      Dans une enquête à laquelle j’ai participé, un acteur de menace chinois a, par ingénierie sociale, fait créer des comptes employés dans une entreprise américaine.
      C’était tellement convaincant qu’il a même réussi, à un certain moment, à faire insérer ses propres comptes comme administrateurs dans le workflow d’approbation d’identité lors de la création de nouveaux comptes employés dans un site précis.
      Le but était uniquement de détourner les réductions offertes aux employés, puis de les revendre, ce qui a causé environ 1 million de dollars de pertes sur plusieurs années.
      https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
  • Je me demande comment on peut estimer avec un certain degré de certitude l’origine des cyberattaques.
    On entend parfois des affirmations du type « on sait que ce sont des Russes parce que les techniques utilisées sont des techniques connues d’un groupe russe », mais si ces techniques pointent aussi clairement vers un groupe ou un pays donné, ne serait-il pas au contraire facile de les imiter pour faire croire que ce sont eux ?
    Si un navire de guerre battant pavillon russe tirait sur un navire américain puis s’enfuyait sans être capturé, il semblerait stupide de dire « c’est à 100 % la Russie » en se basant uniquement sur le pavillon.
    Cela pourrait littéralement être une opération sous fausse bannière, et aujourd’hui les motivations politiques pour faire ce genre de choses sont très fortes.

  • Avec un clavier russe, on devient une cible intéressante pour les malwares de la NSA.

    • La Russie, la Chine, etc. interdisent l’usage de Windows sur les machines de l’armée ou des employés gouvernementaux sensibles.
      Ils utilisent leurs propres distributions Linux.
  • Même en tant qu’utilisateur d’un clavier russe, j’ai attrapé pas mal de virus avant de connaître les bases de la cybersécurité.
    Je me demande dans quelle mesure cette méthode fonctionne réellement à grande échelle, ou si l’article l’exagère.

    • Je pense qu’il s’agit de quelque chose lié aux attaques ciblées et aux campagnes.
      La propagation de virus ordinaires, disséminés dans des fichiers rar, reste suffisamment généraliste.
      À l’inverse, si une organisation opère dans les pays de la CEI, il est logique qu’elle vérifie cela avec prudence pour ne pas devenir la cible des services de sécurité locaux.
      Par exemple, si vous créez un botnet et le louez, d’autres groupes peuvent s’en servir pour causer de sérieux dégâts ; il est donc plus sûr de simplement l’héberger à l’étranger.