IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le code de la grosse attaque par rançongiciel contre Kaseya a été mis au point pour éviter les ordinateurs qui utilisent la langue russe,
Selon de récents retours de firmes spécialistes en sécurité

Le , par Patrick Ruiz

98PARTAGES

9  0 
Le code informatique à l'origine de l'attaque massive de rançongiciel menée par le réseau de pirates Revil contre Kaseya a été mis au point de manière à ce que le logiciel malveillant évite les systèmes qui utilisent le russe ou des langues apparentées. C’est un dénominateur commun avec l’attaque par rançongiciel montée par le groupe Darkside contre Colonial Pipeline. La preuve ultime de ce que la plupart des rançongiciels proviennent de Russie ? Le questionnement intervient dans un contexte où l’OTAN envisage des ripostes par la voie militaire contre les cyberattaques.

Le rançongiciel Revil évite les systèmes dont les langues par défaut proviennent de ce qui était la région de l'URSS. Cela inclut le russe, l'ukrainien, le biélorusse, le tadjik, l'arménien, l'azerbaïdjanais, le géorgien, le kazakh, le kirghize, le turkmène, l'ouzbek, le tatar, le roumain, le russe moldave, le syriaque et l'arabe syriaque. En mai, l'expert en cybersécurité Brian Krebs notait que le ransomware de DarkSide, le groupe qui a attaqué Colonial Pipeline le même mois, contient de même une fonctionnalité pour éviter les ordinateurs qui utilisent la langue russe. En d’autres termes, la simple installation d'un clavier virtuel en langue russe sur un ordinateur fonctionnant sous Microsoft Windows est susceptible d’amener le logiciel malveillant à contourner une machine cible.

Colonial exploite le plus grand oléoduc de carburant des États-Unis et a dû interrompre toutes ses activités pendant plusieurs jours pour tenter de se remettre en marche, ce qui a entraîné des pénuries de gaz dans tout le pays. Grosso modo, le tableau de rançongiciels mis au point pour éviter les systèmes qui utilisent les langes de l’ex-URSS laisse penser que les groupes derrière ces attaques sont autorisés à opérer en toute impunité depuis la Russie et d'autres États de l'ex-Union soviétique, ce, à condition qu'ils concentrent leurs attaques sur les États-Unis et l'Occident.


Les dernières révélations sur le rançongiciel du groupe Revil interviennent au moment où les USA considèrent désormais les attaques par rançongiciels comme des actes de terrorisme. L’effort sera piloté par une force opérationnelle constituée de diverses composantes du Département de la justice des États-Unis : les bureaux des procureurs des USA, la section des crimes informatiques et de la propriété intellectuelle, la section du blanchiment d'argent et recouvrement des actifs, la division de la sécurité nationale et le FBI. Objectif : traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme en leur appliquant pour la première fois le même modèle d’investigation.

Ce groupe de travail a la charge de l'élaboration d'une stratégie qui cible l'ensemble de l'écosystème criminel autour des rançongiciels. Ses prérogatives touchent en sus à la gestion des aspects prioritaires en lien avec les poursuites judiciaires, l'interruption des attaques en cours et la limitation des services qui soutiennent les attaques, tels que les forums en ligne qui font la promotion de la vente de rançongiciels ou les services d'hébergement qui facilitent les campagnes de diffusion des rançongiciels. Enfin, le but ultime de l’initiative est d’identifier les individus qui participent à des attaques informatiques.

L’organisation militaire de l’OTAN de son côté envisage de riposter par la voie militaire aux cyberattaques qu’elle classe comme des attaques armées. Le communiqué de l’Organisation y relatif dénote du sérieux avec lequel elle prend la multiplication des cyberattaques contre ses pays membres et leurs entreprises ou services publics : « Les cybermenaces pesant sur la sécurité de l’Alliance sont complexes, destructrices, coercitives et de plus en plus fréquentes. Cela a été illustré récemment par des incidents de type ransomware et d’autres cyberactivités malveillantes visant nos infrastructures critiques et nos institutions démocratiques, qui pourraient avoir des effets systémiques et causer des dommages importants. »

« Il appartient au Conseil de l’Atlantique Nord de décider au cas par cas à quel moment une cyberattaque peut conduire à l’invocation de l’article 5. Les Alliés reconnaissent que l’impact de cyberactivités cumulatives malveillantes importantes pourrait, dans certaines circonstances, être considéré comme équivalant à une attaque armée », ajoute-t-elle. L’Otan se dit prêt à envisager d’éventuelles réponses collectives, voire à imposer des coûts à ceux qui lui nuisent si nécessaire.

Sources : Trustwave, Communiqué OTAN

Et vous ?

Les rancongiciels qui évitent les systèmes qui utilisent les langues de l’ex-URSS sont-ils la preuve ultime qu’ils proviennent de Russie ?
Quel commentaire faites-vous du positionnement de l’OTAN ?

Voir aussi :

France : Les hackers de l'État russe ont ciblé les serveurs Centreon dans le cadre d'une campagne qui a duré des années, un rapport de l'ANSSI expose ces nouvelles attaques du groupe Sandworm

2021 sera l'année du "ransomware 2.0", avec des attaques de plus en plus agressives, une ingénierie sociale plus professionnelle et des malwares plus innovants, selon G DATA CyberDefense

Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars, en paiements de rançons bitcoin avant d'arrêter leurs activités

Une seconde ville de Floride décide de payer les hackers après une attaque de ransomware. En deux semaines la Floride a payé 1,1 million de dollars

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de micka132
Expert confirmé https://www.developpez.com
Le 09/07/2021 à 9:48
Citation Envoyé par Patrick Ruiz Voir le message

Les rancongiciels qui évitent les systèmes qui utilisent les langues de l’ex-URSS sont-ils la preuve ultime qu’ils proviennent de Russie ?
Probable? Oui!
Ultime ? Non !
Par contre s'il y a l'adresse des hackeurs dans le code source alors là ca serait imparable! Sérieusement, en quoi ca pourrait être l'ombre d'une preuve imparable quand n'importe qui depuis n'importe quel pays peut faire la même chose?
4  1 
Avatar de BleAcheD
Membre confirmé https://www.developpez.com
Le 09/07/2021 à 10:19
J'imagine que c'est pour éviter d'énerver oncle Vlad
1  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 14/07/2021 à 16:32
Ils ont pris l'argent et disparaissent, on les retrouvera peut être sous un autre nom, entre le challenge et l'argent facile c'est dur de décrocher.
1  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 25/10/2021 à 10:10
Personnellement ce n'est qu'un avis mais c'est bien joué. Un travail d'équipe empéchant la récidive. Une victoire où il en reste beaucoup à faire.
Edit : admettons que le FBI n'ait pas eu la clé de déchiffrement, comment kaseya et ses clients auraient ils procédé ?
1  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 14/07/2021 à 12:11
En bref : nous ne savons pas, nous ne savons pas, nous ne savons pas. Comme pour beaucoup d'autres choses dans le monde de la cybercriminalité, il n'y a tout simplement pas assez d'informations disponibles publiquement pour comprendre pourquoi cet événement s'est produit. Cependant, si REvil a été piraté par une entité chargée de l'application de la loi, quelque chose me dit que nous aurons une mise à jour de la situation assez rapidement.
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 21/08/2021 à 9:29
Étant donné que cela s'est avéré très lucratif, ils auraient pu simplement se retirer complètement. Les hauts responsables ont probablement assez d'argent à ce stade pour ne pas avoir besoin de continuer ou de travailler en général, ou au moins pour être en mesure de se tourner vers des "affaires légitimes".
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 22/10/2021 à 17:19
Disons que le point de départ est un petit soft offert et modifié par une bonne personne avec un peu d'aide.
0  0 
Avatar de Demky
Membre habitué https://www.developpez.com
Le 25/10/2021 à 15:15
obtenant ainsi le contrôle d'au moins certains de leurs serveurs

ah ouai, au moins certains, pas mal.
0  0 
Avatar de Jules34
Membre éprouvé https://www.developpez.com
Le 25/10/2021 à 8:40
Citation Envoyé par marsupial Voir le message
Disons que le point de départ est un petit soft offert et modifié par une bonne personne avec un peu d'aide.
En tout cas l'histoire commence à être digne d'un film !

Et on insistera jamais assez sur la nécessitée d'avoir des backs up bien sécurisés ! Enfin à ce niveau la je sais même pas ce qu'il faut faire...
0  1 
Avatar de Jules34
Membre éprouvé https://www.developpez.com
Le 22/10/2021 à 16:49
Citation Envoyé par marsupial Voir le message
L'opération reste en cours pour bloquer les éventuelles résurgences et arrêter les coupables. Les militaires s'en mèlent car leur mission est de défendre leur pays.
Je n'en dis pas plus. Je ne répondrais à aucune question sur le sujet
Je sais pourquoi comment et avec qui et quoi.
Bravo à eux. Mais ce n'est que le début.

Edit : ma seule crainte est qu'un gouvernement autoritaire tombe sur les techniques employés.


Oui oui.

Sacré histoire en tout cas !
0  2