Piratage raté : un rançongiciel s’excuse après avoir ciblé la CEI

Mine de rien, c’est du lourd. Un petit rigolo avec son rançongiciel maison a réussi l’exploit de tout faire capoter pour son gang. Autant dire que dans ce milieu, c’est pire qu’un suicide. Le pirate en question a verrouillé les serveurs d’Eriell, une boîte de forage pétrolier basée en Ouzbékistan – avec un bureau à Moscou pour faire bonne mesure. Problème : l’Ouzbékistan fait partie de la CEI, la Communauté des États Indépendants. Et ça, c’est sacré. Dans le milieu des rançongiciels CEI, on ne touche pas à ce bloc. Jamais. Même un gamin du primaire le sait. Le pirate aurait dû relire ses cours d’histoire. Ou au moins_CHECKER une carte avant de balancer son script de chiffrement.

La CEI, zone interdite : le code non écrit de la cybercriminalité

Pour être honnête, la CEI, c’est comme le carré VIP d’un concert de métal. On n’y touche pas. Pourquoi ? Parce que les anciens de l’URSS savent se montrer… créatifs en matière de rétorsion. Cyberattaques en représailles ? Porte dérobée dans tes propres outils ? Diffamation instantanée sur les forums underground ? Le tout sans laisser de trace ? Oui, parce que des gars comme ça savent faire.

J’ai vu ça en direct avec un client la semaine dernière. Une PME qui avait externalisé son IT à un « expert » local – sans vérifier ses compétences. Résultat : un serveur Windows 2012 R2 infecté par un rançongiciel basique, mais avec une particularité : le décryptage était impossible sans l’outil du pirate. Sauf que le pirate en question était un Moldave qui avait oublié de stocker la clé quelque part. Forcément, quand je lui ai expliqué qu’on était bloqués, il a commencé à parler de « problèmes de cloud ». Du coup, je lui ai répondu : « T’es sérieux ? Ton cloud, c’est un Dropbox gratuit et ton téléphone Android qui fait office de serveur ? » Il a raccroché. Fière journée.

Pourquoi la CEI est-elle une ligne rouge ?

La réponse tient en trois mots : réseaux parallèles. Dans ces pays, les cybercriminels ont des connexions que même les équipes de l’ANSSI envient. Entre les anciens du KGB reconvertis, les hackers patriotiques et les gangs locaux qui paient en cryptomonnaie locale (le rouble numérique, ça existe vraiment maintenant), tu ne veux pas te les mettre à dos.

J’ai un pote à Minsk qui bosse pour une boîte de cybersécurité locale. Il m’a raconté l’histoire d’un gang polonais qui avait tenté de s’attaquer à une banque biélorusse. En 48h, leurs serveurs de commande ont été remplacés par une image de Staline avec la mention : « Respectez nos frontières, sinon… » Soyons clairs : les Biélorusses n’ont pas rigolé. Trois jours plus tard, le gang polonais a fermé boutique. Pas par manque de clients. Par manque de couilles.

Alors oui, la CEI est une zone grise. Mais c’est leur zone grise. Et dans ce coin du monde, la loi du plus fort s’applique. Sauf que cette fois, le plus fort, c’était… un amateur.

La bourde qui coûte 100 000 dollars (et une réputation)

Retour au scénario : notre pirate, affilié au gang Nova, aurait chiffré les serveurs d’Eriell. Sauf que Nova, c’est comme un fast-food de la cybercriminalité – tout le monde en parle, mais personne ne veut en être le client quand ça tourne mal. Sauf que cette fois, ça a tourné très mal.

Parce que le pirate a utilisé une version modifiée de LockBit – oui, le même rançongiciel qui a fait les gros titres en 2023 avec des attaques contre des hôpitaux britanniques. Sauf que notre héros a oublié un détail crucial : les serveurs d’Eriell étaient connectés à des systèmes russes. Et en Russie, on n’aime pas les clients étrangers qui jouent aux apprentis sorciers.

Mine de rien, Nova a dû s’excuser publiquement. Oui, vous avez bien lu. Le gang a sorti un communiqué – un vrai, pas un bobard sur un forum – pour dire : « Désolé pour l’erreur, on ne recommencera pas. » Autant dire que dans le milieu, c’est la honte. Comme si un dealer de shit s’excusait après avoir vendu de la poudre à un flic en civil. Et pire encore : le pirate en question a été banni. Oui, banni. Par son propre gang. Parce que Nova a compris une chose : dans ce business, la discrétion prime sur tout.

Le rançongiciel CEI : une industrie à part

Parce que oui, il existe une vraie industrie des rançongiciels CEI. Pas celle qu’on voit dans les films, avec des mecs en capuche dans un sous-sol éclairé au néon. Non. C’est une machine bien organisée, avec des avocats, des comptables et des spécialistes en relations publiques. Leurs cibles ? Les boîtes occidentales qui croient encore que « cybersécurité » se résume à un antivirus à 30 balles.

J’ai un client en Bretagne qui a refusé de payer une rançon de 20 000 euros. Résultat ? Un an plus tard, il a reçu un courrier de la police russe lui expliquant que son rançongiciel venait d’un serveur basé à Saint-Pétersbourg. Et devinez quoi ? La Rançon était passée à 50 000 euros. Parce que les pirates russes aiment bien tester leur pouvoir de négociation. Et accessoirement, parce que Windows Update avait encore merdé.

Du coup, aujourd’hui, si vous me demandez mon avis : ne touchez pas à la CEI. Même pour tester un script. Même pour « voir ce que ça donne ». Parce que dans ce milieu, les règles sont claires : pas de cible locale, pas de zone grise, pas d’excuses.

Windows Update : la madeleine de la cybercriminalité

Et si je vous disais que la moitié de ces histoires de rançongiciels commencent par une simple mise à jour Windows ? Oui, vous avez bien entendu. Le client lambda clique sur « Mettre à jour maintenant », et pouf – son poste est infecté. Parce que Microsoft, dans sa grande sagesse, décide de balancer une MAJ critique un vendredi soir. Histoire de s’assurer que tout le monde aura un week-end pourrie à réinstaller Windows.

J’ai vu ça avec un client la semaine dernière. Un type qui avait « zappé » la MAJ de sécurité depuis trois mois. Résultat ? Un rançongiciel classique, mais avec une particularité : le decryptor était une vieille version de 2018. Pourquoi ? Parce que le pirate avait fait une erreur de script. Et Windows avait gardé sa vulnérabilité comme un trophée. Forcément, quand je lui ai expliqué qu’il fallait soit payer la rançon, soit restaurer depuis une sauvegarde (qui datait de 2017), il a failli pleurer. Du coup, je lui ai dit : « Écoute, on va faire un compromis : tu paies ma prestation en cryptomonnaie, et je te donne un cours accéléré sur l’importance des MAJ. » Il a accepté. Et il a pleuré quand même.

Alors oui, Windows Update, c’est comme la pluie : c’est chiant, mais si tu l’ignores trop longtemps, ça te tombe dessus. Sauf que dans le cas des rançongiciels CEI, ça tombe encore plus fort. Parce que les pirates locaux adorent exploiter les vieilles failles. Pourquoi ? Parce que les entreprises de la CEI ont souvent des budgets IT serrés. Et un poste sous Windows 7 en 2024, c’est comme un cadenas rouillé : ça ne résiste à rien.

Comment se protéger ? (spoiler : c’est pas compliqué)

• Sauvegardes. Automatiques et testées régulièrement. Pas celles sur le même disque que les données, pas celles dans le cloud gratuit qui se fait pirater tous les six mois. Trois copies : locale, externe et cloud sécurisé. Et si vous me dites que c’est trop cher… essayez de payer 50 000 euros en rançon. Ça, c’est cher.
• Mises à jour. Toutes. Sans exception. Même si ça redémarre votre serveur à 3h du mat’. Parce que les pirates, eux, n’attendent pas 3h pour attaquer.
• Segmentation du réseau. Surtout si vous bossez avec des partenaires en CEI. Un seul poste infecté ne doit pas pouvoir infecter tout le reste. Parce que Windows, on le sait, c’est comme un réseau social : tout le monde est connecté à tout le monde.
• Sensibilisation des employés. Oui, ça existe encore. Un clic sur un lien malveillant, et c’est l’apocalypse. Un de mes clients a failli tout perdre parce qu’une secrétaire a ouvert un PDF intitulé « Facture urgente.doc ». Spoiler : c’était un rançongiciel.

Et si vous me demandez pourquoi je suis aussi catégorique : parce que j’ai passé 15 ans à réparer des machines infectées par des malwares. Et chaque fois, c’est la même histoire : un manque de préparation, une négligence, ou un Windows Update ignoré. Alors oui, c’est chiant. Mais c’est la vie. Et si vous préférez pleurer devant un rançon plutôt que devant votre comptable, libre à vous.

Leçons à retenir : la CEI n’est pas un terrain de jeu

Pour finir, retenez trois choses.

Première : la CEI est une zone interdite pour les rançongiciels. Point. Si vous êtes un pirate, restez loin. Si vous êtes une entreprise, vérifiez que vos prestataires locaux savent ce qu’ils font. Parce que si un de vos sous-traitants en Moldavie décide de tester un script maison… vous allez le regretter.

Deuxième : Windows Update, c’est comme la lessive. Si tu ne le fais pas régulièrement, ça sent mauvais. Et dans le cas des rançongiciels, ça peut sentir le rouble brûlé. Alors mettez à jour. Tout. Sans exception. Même si ça vous oblige à redémarrer votre serveur à 2h du mat’. Parce que les pirates, eux, ne dorment pas.

Troisième : dans le monde des rançongiciels CEI, la réputation, c’est tout. Nova a dû s’excuser publiquement. Le pirate a été banni. Et si demain, un autre gang tente la même bourde… ils auront affaire à bien pire que des excuses. Parce que dans ce milieu, la loi du talion s’applique. Et croyez-moi, vous ne voulez pas voir ce que ça donne.

Et maintenant ? La balle est dans votre camp

Alors, vous allez attendre le prochain Windows Update catastrophique avant de vous décider à sécuriser votre réseau ? Ou vous allez enfin prendre les choses en main ?

Parce que moi, je sais déjà ce que je ferais si j’étais à votre place. Mais bon, je suis peut-être un peu partial. Après tout, c’est mon métier depuis 15 ans de réparer les conneries des autres.

Alors, à vous de jouer. Et si vous avez besoin d’aide, sachez que je suis toujours dispo… à condition que vous ayez prévu un budget pour vos sauvegardes.