La boulette d'un pirate force tout un gang de rançongiciels à présenter ses excuses
Un affilié du gang Nova, spécialisé dans les rançongiciels (ces logiciels qui chiffrent vos fichiers pour vous réclamer une rançon), a commis la bourde qui restera probablement dans les annales du milieu. Il a verrouillé les serveurs d’Eriell, une grosse société de forage pétrolier dont le siège se trouve en Ouzbékistan et qui garde un bureau à Moscou.
Le souci, c’est la géographie. L’Ouzbékistan fait partie de la CEI, la Communauté des États indépendants, en gros l’ensemble des anciennes républiques soviétiques. Et dans ce métier, on ne s’attaque pas à la CEI. Jamais.
"La première règle du club des rançongiciels, c’est qu’on n’attaque pas les organisations de la CEI, et elle est manifestement toujours valable en 2026", résume Allan Liska, analyste chez Recorded Future, une société spécialisée dans le renseignement sur les cybermenaces.
Eriell n’est pas une PME de quartier. C’est un acteur du forage qui travaille pour le secteur pétrolier et gazier de la région, et son nom avait bien été ajouté fin mai à la liste des victimes publiée sur le site du gang, avant le rétropédalage.
Cette règle n’a rien d’une question de politesse entre voyous. Les groupes qui opèrent depuis la Russie et les ex-républiques soviétiques sont tranquilles tant qu’ils dirigent leurs attaques vers l’Occident, mais le jour où ils s’en prennent à une cible locale, ils risquent de réveiller des autorités qui, jusque-là, fermaient les yeux. Pas d’extradition vers les États-Unis, pas d’ennuis, à condition de rester dans les clous.
En temps normal, le tri se fait tout seul. Une partie de ces logiciels vérifie la langue du clavier avant de s’installer, et s’ils détectent du cyrillique, ils s’effacent d’eux-mêmes plutôt que de risquer une cible russophone. L’astuce est tellement connue que des chercheurs en sécurité conseillent, à moitié sérieusement, d’installer un clavier russe sur sa machine pour passer sous le radar de ces logiciels. Là, le garde-fou a visiblement sauté.
Plus drôle encore, c’est Eriell qui a contacté Nova pour signaler l’erreur. Le gang, connu jusqu’à récemment sous le nom de RALord, fonctionne comme une franchise: les développeurs louent leur logiciel à des "affiliés" qui mènent les attaques sur le terrain et partagent ensuite le butin. Le reste du temps, Nova frappe sans état d’âme des cibles un peu partout dans le monde.
Et la suite vaut le détour. Nova a publié des excuses officielles, promis d’aider Eriell à tout remettre en état gratuitement, assuré qu’aucun fichier n’avait été chiffré et juré qu’aucune des données volées ne fuiterait. Quant à l’affilié maladroit, il a tout simplement été banni de l’opération.
Des cybercriminels qui dégainent des excuses publiques et un service après-vente, on ne voit pas ça tous les jours.
Source :
The Register
Source : korben.info