Dans un Twitter discussion la semaine dernière sur les attaques de ransomware, BreachTrace c’est noté que pratiquement toutes les souches de rançongiciels ont une sécurité intégrée conçue pour couvrir les arrières des fournisseurs de logiciels malveillants : ils ne s’installeront tout simplement pas sur un Microsoft Windows ordinateur sur lequel l’un des nombreux types de claviers virtuels est déjà installé, comme le russe ou l’ukrainien. Tant de lecteurs avaient des questions en réponse au tweet que j’ai pensé que cela valait la peine d’écrire un article de blog explorant cette étrange astuce de cyberdéfense.
La Communauté des États indépendants (CEI) correspond plus ou moins à la liste d’exclusion d’un très grand nombre de logiciels malveillants provenant d’Europe de l’Est.
Le fil Twitter est apparu dans une discussion sur l’attaque de rançongiciel contre Colonial Pipeline, qui plus tôt ce mois-ci a fermé 5 500 miles de conduites de carburant pendant près d’une semaine, provoquant des pénuries d’approvisionnement dans les stations-service dans tout le pays et faisant grimper les prix. le Le FBI a dit l’attaque était l’œuvre de Côté obscurune nouvelle offre de ransomware en tant que service qui dit qu’elle ne cible que les grandes entreprises.
DarkSide et d’autres programmes lucratives affiliés en langue russe ont longtemps interdit à leurs associés criminels d’installer des logiciels malveillants sur des ordinateurs dans une multitude de pays d’Europe de l’Est, dont l’Ukraine et la Russie. Cette interdiction remonte aux premiers jours de la cybercriminalité organisée et vise à minimiser l’examen et l’ingérence des autorités locales.
En Russie, par exemple, les autorités n’ouvriront généralement pas d’enquête sur la cybercriminalité contre l’un des leurs à moins qu’une entreprise ou un individu à l’intérieur des frontières du pays ne dépose une plainte officielle en tant que victime. Veiller à ce qu’aucun affilié ne puisse produire de victimes dans son propre pays est le moyen le plus simple pour ces criminels de rester hors du radar des forces de l’ordre nationales.
Peut-être sentir la chaleur d’être référencé dans Décret exécutif du président Biden sur la cybersécurité la semaine dernière, le groupe DarkSide a cherché à se distancer de son attaque contre Colonial Pipeline. Dans un message posté sur son blog d’humiliation des victimes, DarkSide a tenté de dire qu’il était « apolitique » et qu’il ne souhaitait pas participer à la géopolitique.
« Notre objectif est de gagner de l’argent et non de créer des problèmes pour la société », ont écrit les criminels de DarkSide la semaine dernière. « A partir d’aujourd’hui, nous introduisons la modération et vérifions chaque entreprise que nos partenaires souhaitent chiffrer pour éviter des conséquences sociales à l’avenir. »
Mais voici le truc : Les gangs d’extorsion numérique comme DarkSide prennent grand soin de géopolitiquer l’ensemble de leurs plates-formes, car leurs logiciels malveillants sont conçus pour fonctionner uniquement dans certaines parties du monde.
DarkSide, comme un grand nombre d’autres souches de logiciels malveillants, a une liste codée en dur des pays qui sont les principaux membres de la Communauté des États indépendants (CEI) – d’anciens satellites soviétiques qui entretiennent pour la plupart des relations favorables avec le Kremlin. La liste complète des exclusions dans DarkSide (publiée par Cyberaison) est inférieure à:
Image : Cyberaison.
En termes simples, d’innombrables souches de logiciels malveillants vérifieront la présence de l’une de ces langues sur le système, et si elles sont détectées, le logiciel malveillant se fermera et ne s’installera pas.
[Side note. Many security experts have pointed to connections between the DarkSide and REvil (a.k.a. “Sodinokibi”) ransomware groups. REvil was previously known as GandCrab, and one of the many things GandCrab had in common with REvil was that both programs barred affiliates from infecting victims in Syria. As we can see from the chart above, Syria is also exempted from infections by DarkSide ransomware. And DarkSide itself proved their connection to REvil this past week when it announced it was closing up shop after its servers and bitcoin funds were seized.]
MISE EN GARDE EMPTOR
L’installation de l’une de ces langues protégera-t-elle votre ordinateur Windows contre tous les logiciels malveillants ? Absolument pas. Il existe de nombreux logiciels malveillants qui ne se soucient pas de l’endroit où vous vous trouvez dans le monde. Et rien ne remplace l’adoption d’une posture de défense en profondeur et l’évitement des comportements à risque en ligne.
Mais y a-t-il vraiment un inconvénient à adopter cette approche simple, gratuite et prophylactique ? Rien que je puisse voir, à part peut-être un sentiment de capitulation. Le pire qui puisse arriver est que vous basculez accidentellement les paramètres de langue et que toutes vos options de menu sont en russe.
Si cela se produit (et la première fois que cela se produit, l’expérience peut être un peu choquante), appuyez sur la touche Windows et la barre d’espace en même temps ; si vous avez plus d’une langue installée, vous verrez la possibilité de basculer rapidement de l’une à l’autre. La petite boîte qui apparaît lorsque l’on appuie sur ce clavier combo ressemble à ceci :
Les cybercriminels sont notoirement sensibles aux défenses qui réduisent leur rentabilité, alors pourquoi les méchants ne changeraient-ils pas simplement les choses et commenceraient-ils à ignorer la vérification de la langue ? Eh bien, ils peuvent certainement le faire et le feront peut-être même (une version récente de DarkSide analysée par Mandiant fait ne pas effectuer la vérification de la langue du système).
Mais cela augmente le risque pour leur sécurité personnelle et leur fortune d’un montant non négligeable, a déclaré Allison Nixondirecteur de la recherche dans une société de cyber-investigation basée à New York Unité221B.
Nixon a déclaré qu’en raison de la culture juridique unique de la Russie, les pirates informatiques de ce pays utilisent ces contrôles pour s’assurer qu’ils n’attaquent que des victimes à l’extérieur du pays.
« C’est pour leur protection juridique », a déclaré Nixon. « L’installation d’un clavier cyrillique ou la modification d’une entrée de registre spécifique pour indiquer « RU », etc., peut suffire à convaincre les logiciels malveillants que vous êtes russe et hors limites. Cela peut techniquement être utilisé comme un « vaccin » contre les logiciels malveillants russes. »
Nixon a déclaré que si suffisamment de personnes le faisaient en grand nombre, cela pourrait à court terme protéger certaines personnes, mais plus important encore, à long terme, cela obligerait les pirates informatiques russes à faire un choix : risquer de perdre des protections juridiques ou risquer de perdre des revenus.
« Essentiellement, les pirates russes finiront par faire face à la même difficulté que les défenseurs occidentaux doivent affronter – le fait qu’il est très difficile de faire la différence entre une machine nationale et une machine étrangère se faisant passer pour une machine nationale », a-t-elle déclaré.
BreachTrace a demandé au collègue de Nixon chez Unit221B — fondateur Lance James — ce qu’il pensait de l’efficacité d’une autre approche anti-malware suggérée par les abonnés de Twitter qui ont répondu à la discussion de la semaine dernière : ajouter des entrées au registre Windows qui spécifient que le système s’exécute en tant que machine virtuelle (VM). Dans le but de contrecarrer l’analyse des antivirus et des sociétés de sécurité, certains auteurs de logiciels malveillants ont traditionnellement configuré leur logiciel malveillant pour qu’il cesse de s’installer s’il détecte qu’il s’exécute dans un environnement virtuel.
Mais James a déclaré que cette interdiction n’est plus aussi courante, d’autant plus que de nombreuses organisations sont passées à des environnements virtuels pour une utilisation quotidienne.
« Être une machine virtuelle n’arrête pas les logiciels malveillants comme avant », a déclaré James. « En fait, une grande partie des ransomwares que nous voyons actuellement s’exécutent sur des machines virtuelles. »
Mais James dit qu’il aime tellement l’idée que tout le monde ajoute une langue de la liste des pays de la CEI qu’il a produit la sienne script batch Windows cliquable sur deux lignes qui ajoute une référence en langue russe dans les clés de registre Windows spécifiques vérifiées par les logiciels malveillants. Le script permet effectivement à son PC Windows d’avoir l’air d’avoir un clavier russe installé sans réellement télécharger les bibliothèques de scripts ajoutées de Microsoft.
Pour installer une langue de clavier différente sur un ordinateur Windows 10 à l’ancienne, appuyez sur la touche Windows et X en même temps, puis sélectionnez Paramètres, puis sélectionnez « Heure et langue ». Sélectionnez Langue, puis faites défiler vers le bas et vous devriez voir une option pour installer un autre jeu de caractères. Choisissez-en un et la langue devrait être installée au prochain redémarrage. Encore une fois, si pour une raison quelconque vous devez basculer entre les langues, Windows + Barre d’espace est votre ami.