De nombreux ransomwares cessent de s’exécuter si un clavier russe est installé (2021)
(krebsonsecurity.com)- De nombreuses variantes de ransomware intègrent un garde-fou qui interrompt l’installation si des claviers russe ou ukrainien sont installés sur Windows, une condition d’évitement largement observée dans les malwares originaires d’Europe de l’Est
- Des ransomware-as-a-service comme DarkSide définissent des zones d’infection interdites pour éviter de faire des victimes en Russie, en Ukraine et dans d’autres pays d’Europe de l’Est, afin d’échapper à l’attention des forces de l’ordre locales
- Après l’attaque contre Colonial Pipeline, DarkSide a affirmé être « apolitique », mais les conditions d’exécution géographiques du malware reflètent elles-mêmes des contraintes géopolitiques
- Ajouter un clavier russe ou des valeurs de registre associées peut constituer une mesure préventive gratuite contre certains malwares d’origine russe, sans toutefois remplacer une défense en profondeur ni de bonnes habitudes de sécurité
- Les attaquants peuvent supprimer cette vérification linguistique, mais Allison Nixon, de Unit221B, estime que les hackers russes devraient alors choisir entre la perte de protection juridique et la perte de revenus
Les langues et régions que les ransomwares évitent
- De nombreuses variantes de ransomware vérifient si certains claviers virtuels sont installés sur les systèmes Microsoft Windows, et interrompent l’installation si des langues comme le russe ou l’ukrainien sont détectées
- Les opérateurs de malwares ajoutent ce type de sécurité intégrée pour éviter de faire des victimes dans leur propre région
- La zone de la Communauté des États indépendants (CEI) recoupe largement la liste d’exclusion d’infection de nombreux malwares venus d’Europe de l’Est
- DarkSide comporte lui aussi une liste codée en dur de pays où l’installation est interdite, correspondant aux principaux membres de la CEI, liste rendue publique par Cybereason
Le cas Colonial Pipeline et DarkSide
- Cette discussion est liée à l’attaque par ransomware contre Colonial Pipeline
- L’attaque a interrompu pendant près d’une semaine un pipeline de carburant de 5 500 miles plus tôt ce mois-ci
- Elle a entraîné des pénuries dans les stations-service et une hausse des prix dans tout le pays
- Le FBI a attribué l’attaque à DarkSide
- DarkSide est une structure relativement récente de ransomware-as-a-service qui affirme ne viser que les grandes entreprises
- DarkSide et d’autres programmes d’affiliation russophones bloquent depuis longtemps l’installation de malwares sur des ordinateurs situés en Russie, en Ukraine et dans plusieurs autres pays d’Europe de l’Est
Pourquoi cet évitement géographique est utilisé
- En Russie, il est généralement admis que les autorités n’ouvrent pas d’enquête sur une cybercriminalité visant des entreprises ou particuliers nationaux tant qu’aucune plainte officielle n’a été déposée
- Pour les criminels, empêcher l’apparition de victimes dans leur propre pays est le moyen le plus simple d’échapper au radar des forces de l’ordre nationales
- Après avoir été mentionné dans le décret présidentiel de Joe Biden sur la cybersécurité, DarkSide a tenté de prendre ses distances avec l’attaque contre Colonial Pipeline
- Sur son blog de divulgation des victimes, le groupe s’est présenté comme « apolitique »
- Il a affirmé que son objectif était de gagner de l’argent, pas de créer des problèmes pour la société
- Il a déclaré qu’à l’avenir il examinerait les entreprises que ses partenaires comptent chiffrer afin d’éviter des conséquences sociales
- Pourtant, des organisations d’extorsion numérique comme DarkSide conçoivent leurs malwares pour qu’ils ne fonctionnent que dans certaines régions, ce qui montre que la plateforme elle-même reflète des conditions politiques régionales
REvil, GandCrab et les listes d’exclusion d’infection
- Des experts en sécurité ont depuis longtemps relevé des liens entre DarkSide et REvil, aussi connu sous le nom de Sodinokibi
- REvil, auparavant connu sous le nom de GandCrab, et GandCrab comme REvil interdisaient tous deux à leurs affiliés d’infecter des victimes syriennes
- La liste d’exclusion de DarkSide inclut elle aussi la Syrie
- DarkSide a ensuite annoncé l’arrêt de ses activités en affirmant que ses serveurs et ses fonds en bitcoins avaient été saisis, un épisode qui a mis en lumière son lien avec REvil
Les limites de l’installation d’un clavier russe
- Installer une langue comme le russe ne rend pas un ordinateur Windows sûr face à tous les malwares
- De nombreux malwares ne tiennent aucun compte de la localisation ni de la langue
- Cette méthode ne remplace ni une défense en profondeur ni l’habitude d’éviter les comportements risqués en ligne
- L’inconvénient est limité, mais il peut arriver de basculer par erreur les paramètres linguistiques et de voir les menus s’afficher en russe
- Dans ce cas, appuyer simultanément sur la touche Windows et la barre d’espace permet de passer rapidement d’une langue installée à l’autre
Les attaquants peuvent-ils modifier cette vérification linguistique ?
- Les attaquants réagissent avec sensibilité aux contre-mesures qui réduisent leur rentabilité et peuvent modifier leurs malwares pour ignorer la vérification de langue
- En pratique, une version récente de DarkSide analysée par Mandiant n’effectuait pas de vérification de la langue système
- Allison Nixon, de Unit221B, estime que supprimer cette vérification augmente de façon non négligeable les risques pesant sur la sécurité personnelle et les biens des attaquants
- Selon Nixon, les hackers russes utilisent ces vérifications pour ne viser que des victimes hors de Russie, en raison de la culture juridique particulière du pays
- Le simple fait d’installer un clavier cyrillique ou de modifier certaines entrées du registre en
RUpeut suffire pour que certains malwares considèrent l’utilisateur comme russe et l’excluent de leurs cibles
La pression que pourrait créer une adoption à grande échelle
- Nixon estime que si beaucoup de personnes recourent à cette méthode, elle pourrait protéger certains utilisateurs à court terme
- À long terme, les hackers russes pourraient devoir accepter soit le risque de perdre leur protection juridique, soit le risque de perdre des revenus
- Comme les défenseurs occidentaux, ils auraient alors de plus en plus de mal à distinguer de vrais ordinateurs domestiques de machines étrangères qui se font passer pour des ordinateurs nationaux
Contournement de la détection des VM et méthode par le registre
- Certains lecteurs ont aussi proposé d’ajouter au registre Windows des éléments donnant l’apparence d’une machine virtuelle (VM)
- Lance James, de Unit221B, estime que le fait d’être ou non une VM bloque moins efficacement les malwares qu’auparavant
- Parce que beaucoup d’organisations utilisent désormais des environnements virtuels pour leurs tâches quotidiennes
- De nombreux ransomwares observés aujourd’hui s’exécutent aussi dans des VM
- James soutient l’idée d’ajouter les langues de la liste des pays de la CEI et a créé un script batch de deux lignes qui fait croire qu’un PC Windows a un clavier russe installé
- Ce script ajoute une référence au russe dans certaines clés spécifiques du registre Windows vérifiées par les malwares, sans télécharger de bibliothèque de scripts supplémentaire depuis Microsoft
Comment ajouter une langue dans Windows 10
- Pour installer directement une autre langue de clavier dans Windows 10, appuyez sur la touche Windows et X, puis sélectionnez Settings
- Ensuite, choisissez « Time and Language », puis dans le menu Language, l’option permettant d’installer un autre jeu de caractères
- La langue sera installée au prochain redémarrage
- Lorsqu’il faut changer de langue, utilisez le raccourci Windows+Spacebar
1 commentaires
Avis sur Hacker News
Si vous faites en sorte qu’une machine ressemble à un bac à sable d’exécution de malware, beaucoup de malwares se terminent pour éviter l’analyse
Au final, ce genre de chose fait partie du jeu du chat et de la souris
Les malwares Windows sont devenus assez sophistiqués au cours des 30 dernières années
Mais ils peuvent regarder d’autres indicateurs
Il y a des éléments montrant que cela a fonctionné contre des ransomwares comme Petya, ou des groupes comme Fancy Bear, Cozy Bear et Conti
En gros, parce que le gouvernement russe garantit officieusement l’impunité tant que la cible n’est pas russe
Et si vous dites que vous êtes russe, ou que vous écrivez en russe dans un chat ou un e-mail, ils peuvent même déchiffrer votre système gratuitement
Ce n’est pas exactement la même chose, mais je me souviens d’un développeur russe de shareware qui donnait des licences gratuites aux Russes
Il y a des Russes partout, et ils peuvent travailler dans l’entreprise victime ; donc si la rançon se chiffre en millions de dollars, le simple fait d’être russe ne suffira sans doute pas
Il faudrait probablement les convaincre que l’entreprise appartient à des Russes, ou que votre père travaille au FSB, ce genre de chose
La politique consistant à ne pas pisser dans la tente est bien comprise par presque tous les groupes russes
Les étrangers ne posent pas ce genre de problème
Je ne pense pas qu’il existe une impunité particulière
Cela dit, les étrangers peuvent parfois aussi poser problème
Récemment, plusieurs spécialistes cyber ont été condamnés après une enquête lancée à la suite d’un signalement de Joe Biden
En tant que Russe qui a beaucoup supprimé de winlockers sur les ordinateurs de camarades d’école peu à l’aise avec la technologie à la fin des années 2000, j’ai du mal à être d’accord :D
Cela dit, ces trucs-là étaient sans doute moins sophistiqués
Ils ne chiffraient pas les fichiers, mais affichaient une fenêtre impossible à fermer qui exigeait un paiement
Parfois, il y avait même des messages amusants du genre « merci d’avoir installé le widget d’accès rapide aux sites pour adultes »
Je serais plutôt surpris qu’il n’existe aucun malware ciblant uniquement les systèmes où un clavier cyrillique est activé
N’attaquez pas les Bulgares, s’il vous plaît :)
Sur n’importe quelle version de Windows, la meilleure défense contre les malwares a toujours été de faire du compte utilisé au quotidien un compte non administrateur
Il faut aussi créer un compte administrateur complet séparé, qui peut être un compte local
Le mot de passe doit impérativement être différent
Chaque fois que vous devez installer quelque chose ou lancer PowerShell/CMD en administrateur, une fenêtre demande la connexion séparée au compte administrateur
C’est fondamentalement la même approche que sudo sous Linux, et c’est aussi la manière dont un vrai service informatique professionnel exploite Windows
Si une fenêtre d’élévation de privilèges apparaît alors que vous ne l’avez pas déclenchée vous-même, vous savez que quelque chose ne va pas, et la plupart des malwares ne pourront pas s’installer
On peut aussi utiliser un mot de passe relativement ordinaire, mais pas trop court, pour le compte standard, et un mot de passe bien plus complexe pour la connexion administrateur
C’est particulièrement utile pour les personnes qui risquent de mal cliquer, comme sur un « PC de grand-mère »
Même exécuté avec les droits d’un utilisateur non privilégié, il peut faire n’importe quoi dans le système de fichiers auquel cet utilisateur a accès, et dans la plupart des configurations grand public, les connexions Internet sortantes sont aussi possibles sans restriction
Autrement dit, cette séparation des privilèges ne protège pas contre l’exfiltration de données, les ransomwares visant les fichiers importants de l’utilisateur, ni les simples dégradations
Depuis Vista, les malwares se sont adaptés à l’UAC, et aujourd’hui tous les malwares fonctionnent très bien avec de simples droits utilisateur
Les données auxquelles un utilisateur standard a accès, qu’elles soient locales ou sur un serveur CIFS distant, deviennent des cibles pour les ransomwares
Restreindre les droits administrateur n’empêche pas un malware d’accéder aux données
La persistance aussi s’est déplacée vers des méthodes par utilisateur, sans droits administrateur
Tous ces Chromium personnalisés quasi malveillants que les utilisateurs installent en cherchant des logiciels pour contourner le service informatique fonctionnent de la même manière
Je pense tout de même qu’il ne faut pas donner de droits administrateur aux utilisateurs Windows au quotidien
Mais contre les malwares, cela n’aide pas beaucoup
Pour les activités les plus sensibles, principalement la banque en ligne, j’utilise une machine physiquement séparée, mais on peut obtenir presque le même effet avec une connexion Windows non administrateur distincte et en cloisonnant l’accès aux données qui ne doivent pas être prises en otage par un ransomware
L’isolation entre comptes utilisateurs différents sous Windows est en réalité plutôt correcte ; il suffit donc de limiter les données auxquelles les comptes ont accès en commun
Personnellement, je voulais utiliser Qubes pour arrêter d’avoir recours à une machine physiquement séparée, mais je n’ai pas trouvé le temps d’apprendre ses particularités
Correction : j’aurais dû dire « Chromium personnalisé quasi malveillant », pas Chrome
Les entreprises paient souvent bien plus cher pour récupérer leurs données, et le ransomware Petya en est un bon exemple
Cela dit, si un intrus dispose de droits utilisateur standard sur une machine, il peut rechercher activement des comptes administrateur sur cette machine et le réseau, et voler des sessions
L’objectif final est d’obtenir des droits Domain Admin
En dehors de cela, il n’est pas forcément nécessaire d’avoir des droits administrateur pour supprimer ou chiffrer des données, ni pour exécuter ou dissimuler des logiciels
Outre le détournement de session, il existe de nombreuses façons d’obtenir des droits administrateur : logiciels non corrigés, droits utilisateur inadaptés, zero-days, ingénierie sociale, etc.
Une méthode courante consiste aussi à intégrer un malware ou un ransomware à un logiciel utile que l’utilisateur souhaite installer
À propos de « y a-t-il un inconvénient à prendre cette mesure de prévention simple et gratuite ? À mon avis, non », l’inconvénient qui me vient immédiatement à l’esprit est l’augmentation des coûts de support quand des utilisateurs changent de clavier par erreur.
Les raccourcis de changement de clavier ne sont généralement pas difficiles à déclencher par inadvertance, et la plupart des utilisateurs américains, en particulier, ne sauront probablement pas ce qu’ils ont fait ni comment revenir en arrière.
Je me demande si cela fonctionne encore vraiment, même après que Brian Krebs l’a rendu public dans le monde entier en 2021.
La Russie et la Corée du Nord considèrent les ransomwares comme une activité économique légitime.
Cela fait partie d’une stratégie de guerre hybride.
C’est surtout une question d’appréciation juridique et d’application de la loi.
Si vous évitez les autorités russes, elles vous éviteront aussi.
En outre, la Russie n’est pas un terrain de cibles aussi fertile que les États-Unis.
Aux États-Unis, il y a beaucoup d’employés de bureau débutants et mal payés prêts à mettre à jour des informations de paiement fournisseurs après s’être fait piéger par une compromission d’e-mail professionnel (BEC).
En 2024, les pertes liées au BEC se sont élevées à 2,77 milliards de dollars, ce qui en faisait la catégorie la plus lucrative, et les pertes totales aux États-Unis ont atteint 16 milliards de dollars pour 859 532 signalements.
Dans une enquête à laquelle j’ai participé, un acteur de menace chinois a, par ingénierie sociale, fait créer des comptes employés dans une entreprise américaine.
C’était tellement convaincant qu’il a même réussi, à un certain moment, à faire insérer ses propres comptes comme administrateurs dans le workflow d’approbation d’identité lors de la création de nouveaux comptes employés dans un site précis.
Le but était uniquement de détourner les réductions offertes aux employés, puis de les revendre, ce qui a causé environ 1 million de dollars de pertes sur plusieurs années.
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
Je me demande comment on peut estimer avec un certain degré de certitude l’origine des cyberattaques.
On entend parfois des affirmations du type « on sait que ce sont des Russes parce que les techniques utilisées sont des techniques connues d’un groupe russe », mais si ces techniques pointent aussi clairement vers un groupe ou un pays donné, ne serait-il pas au contraire facile de les imiter pour faire croire que ce sont eux ?
Si un navire de guerre battant pavillon russe tirait sur un navire américain puis s’enfuyait sans être capturé, il semblerait stupide de dire « c’est à 100 % la Russie » en se basant uniquement sur le pavillon.
Cela pourrait littéralement être une opération sous fausse bannière, et aujourd’hui les motivations politiques pour faire ce genre de choses sont très fortes.
Avec un clavier russe, on devient une cible intéressante pour les malwares de la NSA.
Ils utilisent leurs propres distributions Linux.
Même en tant qu’utilisateur d’un clavier russe, j’ai attrapé pas mal de virus avant de connaître les bases de la cybersécurité.
Je me demande dans quelle mesure cette méthode fonctionne réellement à grande échelle, ou si l’article l’exagère.
La propagation de virus ordinaires, disséminés dans des fichiers rar, reste suffisamment généraliste.
À l’inverse, si une organisation opère dans les pays de la CEI, il est logique qu’elle vérifie cela avec prudence pour ne pas devenir la cible des services de sécurité locaux.
Par exemple, si vous créez un botnet et le louez, d’autres groupes peuvent s’en servir pour causer de sérieux dégâts ; il est donc plus sûr de simplement l’héberger à l’étranger.