Selon un rapport de l’entreprise en cybersécurité Trustwave SpiderLabs relayé par la NBC, le ransomware qui a touché la société informatique Kaseya le 2 juillet 2021, contient un code pour éviter tout système utilisant le russe ou une langue apparentée. Le groupe à l’origine de l’attaque, REvil, est réputé pour opérer depuis le territoire russe.

Le Kremlin n’est pas nécessairement impliqué dans l’attaque pour autant

Le 6 juillet 2021, l’administration américaine avait déclaré ne pas encore être parvenue à identifier l’origine du ransomware qui a touché entre 800 et 1 500 organisations selon les estimations. Pour certains, le nombre est plus élevé encore. La demande de rançon de REvil atteint les 70 millions de dollars. Pourtant, les regards se sont vite tournés vers la Russie.

Le rapport de Trustwave SpiderLabs semble confirmer ce soupçon. Selon les informations récoltées par les chercheurs, le ransomware est conçu pour éviter « les systèmes dont les langues par défaut proviennent de ce qui était la région de l'URSS. Cela inclut le russe, l'ukrainien, le biélorusse, le tadjik, l'arménien, l'azerbaïdjanais, le géorgien, le kazakh, le kirghize, le turkmène, l'ouzbek, le tatar, le roumain, le russe moldave, le syriaque et l'arabe syriaque ». Ce n’est pas le seul à être doté d’une telle option. Le ransomware du groupe DarkSide, à l’origine de l’attaque de Colonial Pipeline en mai, semblait équipé d’un système similaire.

Que les virus évitent la Russie ne signifie pas forcément qu’ils soient commandés pour le Kremlin. Il semble que ce soit plutôt une protection contre les autorités locales. Ziv Mador, vice-président de la recherche en sécurité de Trustwave SpiderLabs, a expliqué à la NBC : « Ils ne veulent pas ennuyer les autorités locales et savent qu'ils pourront poursuivre leurs activités beaucoup plus longtemps s'ils procèdent de cette manière ».

La difficile coopération entre la Russie et les États-Unis sur les ransomwares

Traditionnellement, la Russie a tendance à ignorer les demandes de collaboration sur les cybercrimes qui n’ont pas impacté le pays. Le MIT Technology Review est revenu récemment sur une tentative de collaboration entre Américains, Russes et Ukrainiens en 2010, l’opération Trident Breach. L’opération a abouti à un échec, notamment lorsque le FSB, les services russes, a coupé tout contact avec leurs associés du moment. Parmi les cibles de l’opération de l’époque, certains se sont mis au ransomware et auraient même collaboré ponctuellement avec les services russes.

Les États-Unis, qui ont fait des ransomwares une des menaces majeures de l’époque, ont accentué leurs pressions sur la Russie pour que le pays collabore davantage avec les autorités étrangères. La cybercriminalité a été l’une des questions centrales de l’entrevue entre Joe Biden et Vladimir Poutine à Genève, en juin, en marge du G7. Le conseiller américain à la sécurité nationale avait déclaré à l’époque que les Américains avaient « posé des jalons clairs avec la Russie, des attentes claires, et de lui avoir également communiqué les capacités dont nous disposons si elle choisit de ne pas agir contre les criminels qui attaquent nos infrastructures critique depuis le sol russe ».

L’attaque contre Kaseya peut constituer un test sur une éventuelle bonne volonté russe à agir contre les cybercriminels présents sur son territoire. Cyberguerre rapporte que la présidence russe, via l’agence de presse TASS, a déclaré ne pas avoir reçu de demande de collaboration de la part des États-Unis le 5 juillet. Cette demande pourrait intervenir, accompagnée de pression, si l’attribution du ransomware indiquait bien la Russie.