Le fil Twitter a été abordé lors d'une discussion sur l'attaque au ransomware contre Colonial Pipeline . Pour mémoire, la société a été victime de l'une des attaques de ransomware les plus médiatisées de son histoire, qui a entraîné la fermeture d'une artère vitale utilisée pour acheminer l'essence et le diesel et le kérosène des raffineries de la côte du Golfe du Mexique vers les points de distribution de la côte Est. Les opérateurs du ransomware Darkside seraient responsables de l'attaque. La société d'informatique Secureworks estime que les criminels basés en Russie (qu'elle a baptisé Gold Waterfall) opèrent depuis le mois d'août de l'année dernière sous la forme d'une opération d'affiliation basée sur des commissions, et qu'ils sont une émanation de la célèbre équipe de ransomware Revil. « Darkside ransomware semble avoir été créé indépendamment de REvil ou GandCrab, mais présente plusieurs similitudes architecturales qui suggèrent que l'auteur de Darkside est familier à ces familles », indique Secureworks dans un compte rendu de recherche KrebsOnSecurity note que DarkSide et d'autres programmes lucratifs d'affiliation en langue russe ont longtemps empêché leurs associés criminels d'installer des logiciels malveillants sur des ordinateurs dans une multitude de pays d'Europe de l'Est, notamment l'Ukraine et la Russie. Cette interdiction remonte aux premiers jours de la cybercriminalité organisée et vise à minimiser le contrôle et l'ingérence des autorités locales.En Russie, par exemple, les autorités locales n’entameront généralement pas d’enquête sur la cybercriminalité contre l’une des leurs à moins qu’une entreprise ou une personne à l’intérieur des frontières du pays ne dépose une plainte officielle en tant que victime. S'assurer qu'aucun affilié ne peut faire de victimes dans son propre pays est le moyen le plus simple pour ces criminels de rester à l'écart des services de police nationaux.Dans un message publié sur son blog de honte aux victimes, DarkSide a tenté de dire qu'il était « apolitique » et qu'il ne souhaitait pas participer à la géopolitique : « Notre objectif est de gagner de l'argent et non de créer des problèmes pour la société », ont écrit les criminels de DarkSide la semaine dernière. « À partir d'aujourd'hui, nous introduisons la modération et vérifions chaque entreprise que nos partenaires souhaitent chiffrer pour éviter les conséquences sociales à l'avenir ». Précisons que tout ceci a été fait avant que les opérateurs ne perdent l'accès au site Web et aux serveurs. Ils ont indiqué dans un forum russe qu'ils avaient perdu l'accès à « l'infrastructure publique » du groupe , selon la société de cybersécurité Recorded Future, qui a repéré le message du forum.Mais KrebsOnSecurity estime que les opérateurs d'extorsion numérique comme DarkSide prennent grand soin de rendre l'ensemble de leurs plateformes géopolitiques, car leurs logiciels malveillants sont conçus pour ne fonctionner que dans certaines régions du monde.DarkSide, comme de nombreuses autres souches de logiciels malveillants disposent d'une liste codée en dur de pays où il ne doit pas installer qui sont les principaux membres de la Communauté des États indépendants (CEI) – anciens satellites soviétiques qui entretiennent pour la plupart des relations favorables avec le Kremlin. La liste complète des exclusions dans DarkSide (publiée par Cybereason) est ci-dessous:En termes simples, d'innombrables souches de logiciels malveillants vérifieront la présence de l'une de ces langues sur le système et, si elles sont détectées, le logiciel malveillant s'arrêtera et ne s'installera pas.Alors l'installation de l'une de ces langues protégera-t-elle votre ordinateur Windows de tous les logiciels malveillants ? Absolument pas. Il existe de nombreux logiciels malveillants qui ne se soucient pas de l’endroit où vous vous trouvez dans le monde. Et il n'y a pas de substitut pour adopter une posture de défense en profondeur et éviter les comportements à risque en ligne.Mais y a-t-il vraiment un inconvénient à adopter cette approche prophylactique simple et gratuite ? Vraisemblablement aucun. Le pire qui puisse arriver est que vous basculiez accidentellement les paramètres de langue et que toutes vos options de menu soient en russe. Si cela se produit (et la première fois que cela se produit, l'expérience peut être un peu discordante), appuyez sur la touche Windows et sur la barre d'espace en même temps; si vous avez plus d'une langue installée, vous verrez la possibilité de basculer rapidement de l'une à l'autre.Les cybercriminels sont notoirement sensibles aux défenses qui réduisent leur rentabilité, alors pourquoi ne changeraient-ils pas simplement de méthode par exemple en ignorant la vérification linguistique ? Bien entendu, ils peuvent certainement le faire et le feront probablement (une version récente de DarkSide analysée par Mandiant n'a pas effectué la vérification de la langue du système).Mais cela augmente le risque pour leur sécurité personnelle et leur fortune d'un montant non négligeable, a déclaré Allison Nixon, responsable de la recherche au sein de la société d'enquêtes cybernétiques Unit221B de New York.Nixon a déclaré qu'en raison de la culture juridique unique de la Russie, les pirates informatiques criminels de ce pays utilisent ces contrôles pour s'assurer qu'ils n'attaquent que les victimes à l'extérieur du pays.« C'est pour leur protection juridique », a déclaré Nixon. « L’installation d’un clavier cyrillique, ou la modification d’une entrée de registre spécifique pour dire "RU", etc., peut suffire à convaincre les logiciels malveillants que vous êtes russe et donc que vous ne devez pas être attaqués. Nixon a déclaré que si suffisamment de personnes le faisaient en grand nombre, cela pourrait à court terme protéger certaines personnes, mais plus important encore, à long terme, cela obligeait les pirates russes à faire un choix : risquer de perdre les protections juridiques ou risquer de perdre des revenus.« Essentiellement, les pirates informatiques russes finiront par faire face à la même difficulté que les défenseurs occidentaux doivent affronter – le fait qu'il est très difficile de faire la différence entre une machine domestique et une machine étrangère se faisant passer pour une machine domestique », a-t-elle déclaré.Source : KrebsOnSecurity