Muitos ransomwares param de executar se um teclado russo estiver instalado (2021)
(krebsonsecurity.com)- Muitas variantes de ransomware têm uma salvaguarda que interrompe a instalação se um teclado russo ou ucraniano estiver instalado no Windows, uma condição de evasão amplamente vista em malware originado do Leste Europeu
- Serviços de ransomware como o DarkSide mantêm regiões proibidas para infecção, para não criar vítimas na Rússia, Ucrânia e outros países do Leste Europeu, tentando evitar a atenção das autoridades locais
- Após o ataque à Colonial Pipeline, o DarkSide afirmou ser “apolítico”, mas as próprias condições regionais de funcionamento do malware refletem restrições geopolíticas
- Adicionar um teclado russo ou valores relacionados no Registro pode servir como uma medida preventiva gratuita contra alguns malwares de origem russa, mas não substitui defesa em profundidade nem hábitos seguros de uso
- Embora os invasores possam remover a verificação de idioma, Allison Nixon, da Unit221B, acredita que, nesse caso, hackers russos teriam de escolher entre perder proteção legal e perder receita
Idiomas e regiões que o ransomware evita
- Muitas variantes de ransomware verificam se determinados teclados virtuais estão instalados em sistemas Microsoft Windows e interrompem a instalação quando detectam idiomas como russo ou ucraniano
- Operadores de malware incluem esse tipo de mecanismo à prova de falhas para evitar vítimas em sua própria região
- A região da Comunidade dos Estados Independentes (CEI) em geral coincide com as listas de exclusão de infecção de muitos malwares vindos do Leste Europeu
- O DarkSide também tem uma lista codificada de países onde a instalação é proibida, correspondente aos principais membros da CEI, e a Cybereason divulgou essa lista
O caso Colonial Pipeline e DarkSide
- Esta discussão está ligada ao ataque de ransomware à Colonial Pipeline
- O ataque fez o oleoduto de combustível de 5.500 milhas parar por quase uma semana no início deste mês
- Isso levou à falta de abastecimento em postos de gasolina e ao aumento de preços em todo os EUA
- O FBI afirmou que o responsável pelo ataque foi o DarkSide
- O DarkSide é uma operação relativamente nova de ransomware-as-a-service que diz mirar apenas grandes empresas
- O DarkSide e outros programas de afiliados de língua russa há muito impedem a instalação de malware em computadores de vários países do Leste Europeu, incluindo Rússia e Ucrânia
Por que a evasão regional é usada
- Na Rússia, sabe-se que, em geral, as autoridades não iniciam investigações de crimes cibernéticos contra seus cidadãos se empresas ou indivíduos locais não registrarem uma queixa formal como vítimas
- Para criminosos, evitar vítimas no próprio país é a forma mais fácil de ficar fora do radar das autoridades nacionais de investigação
- O DarkSide tentou se distanciar do ataque à Colonial Pipeline depois de ser mencionado na ordem executiva de cibersegurança do presidente Biden
- Em seu blog público de vítimas, afirmou ser “apolítico”
- Disse que seu objetivo é ganhar dinheiro, não criar problemas para a sociedade
- Afirmou que, no futuro, analisaria as empresas que seus parceiros pretendem criptografar para evitar consequências sociais
- No entanto, grupos de extorsão digital como o DarkSide projetam seu malware para funcionar apenas em determinadas regiões, de modo que a própria plataforma reflete condições políticas regionais
REvil, GandCrab e listas de exclusão de infecção
- Especialistas em segurança têm apontado ligações entre o DarkSide e o REvil, também conhecido como Sodinokibi
- O REvil era conhecido anteriormente como GandCrab, e tanto o GandCrab quanto o REvil proibiam afiliados de infectar vítimas sírias
- A lista de exclusão do DarkSide também inclui a Síria
- Posteriormente, o DarkSide anunciou o encerramento das operações, dizendo que seus servidores e fundos em bitcoin haviam sido apreendidos, e nesse processo sua conexão com o REvil veio à tona
Limites de instalar um teclado russo
- Instalar um idioma como russo não torna um computador Windows seguro contra todos os malwares
- Há muitos malwares que não se importam com localização ou idioma
- Esse método não substitui defesa em profundidade nem o hábito de evitar comportamentos arriscados online
- As desvantagens não são grandes, mas é possível alternar a configuração de idioma por engano e ver menus em russo
- Nesse caso, pressionar a tecla Windows e a barra de espaço ao mesmo tempo permite alternar rapidamente entre os idiomas instalados
Os invasores podem mudar a verificação de idioma?
- Invasores reagem de forma sensível a defesas que reduzem sua lucratividade e podem modificar o malware para ignorar a verificação de idioma
- De fato, uma versão recente do DarkSide analisada pela Mandiant não realizava verificação de idioma do sistema
- Allison Nixon, da Unit221B, acredita que remover a verificação de idioma aumenta riscos não desprezíveis à segurança pessoal e ao patrimônio dos invasores
- Segundo Nixon, hackers russos usam essas verificações por causa da cultura jurídica peculiar da Rússia, para atacar apenas vítimas fora do país
- Apenas instalar um teclado cirílico ou alterar determinadas entradas do Registro para
RUpode fazer alguns malwares considerarem o usuário russo e excluí-lo da lista de alvos
Pressão que a adoção em larga escala poderia criar
- Nixon acredita que, se muitas pessoas usarem esse método, ele pode proteger alguns usuários no curto prazo
- No longo prazo, hackers russos teriam de aceitar o risco de perder proteção legal ou o risco de perder receita
- Hackers russos também passariam a enfrentar um problema semelhante ao dos defensores ocidentais: distinguir computadores domésticos reais de computadores estrangeiros se passando por domésticos
Evasão de detecção de VM e método pelo Registro
- Alguns leitores também sugeriram adicionar ao Registro do Windows entradas que façam o sistema parecer uma máquina virtual (VM)
- Lance James, da Unit221B, acredita que a identificação como VM já não bloqueia malware como antes
- Isso porque muitas organizações passaram a usar ambientes virtuais no trabalho cotidiano
- Muitos ransomwares observados atualmente também são executados em VMs
- James apoia a ideia de adicionar idiomas da lista de países da CEI e criou um script batch de duas linhas que faz um PC Windows parecer ter um teclado russo instalado
- Esse script adiciona referências ao russo a chaves específicas do Registro do Windows verificadas por malware, sem precisar baixar bibliotecas adicionais de script da Microsoft
Como adicionar um idioma no Windows 10
- Para instalar diretamente outro idioma de teclado no Windows 10, pressione a tecla Windows e X e selecione Settings
- Em seguida, selecione “Time and Language” e, no menu Language, escolha a opção para instalar outro conjunto de caracteres
- O idioma será instalado na próxima reinicialização
- Quando precisar alternar o idioma, use a combinação Windows+Spacebar
1 comentários
Opiniões no Hacker News
Se você fizer a máquina parecer um sandbox de execução de malware, muitos malwares encerram a execução para evitar análise
No fim, esse tipo de coisa faz parte do jogo de gato e rato
Malwares para Windows ficaram bastante sofisticados nos últimos 30 anos
Mas eles podem observar outros indicadores
Há evidências de que isso funcionou contra ransomware como Petya e grupos como Fancy Bear, Cozy Bear e Conti
Em geral, porque o governo russo garante informalmente impunidade se o alvo não for a Rússia
Além disso, se você se identificar como russo ou escrever em russo no chat/e-mail, às vezes eles descriptografam seu sistema de graça
Não é exatamente a mesma coisa, mas me lembro de um desenvolvedor russo de shareware que dava licenças gratuitas a russos
Há muitos russos em todos os lugares e eles podem trabalhar na empresa vítima; então, se o resgate for de milhões de dólares, só ser russo não vai bastar
Provavelmente seria preciso convencê-los com algo como a empresa ser de propriedade russa, ou seu pai trabalhar no FSB
A política de não mijar dentro da própria barraca é bem compreendida por quase todos os grupos russos
Estrangeiros não criam esse problema nesse sentido
Não acho que exista alguma impunidade especial
Mas estrangeiros também podem criar problemas de vez em quando
Recentemente, vários especialistas em cibersegurança foram condenados depois de uma investigação iniciada por uma denúncia de Joe Biden
Como russo que removeu muito winlocker de computadores de colegas de escola pouco familiarizados com tecnologia no fim dos anos 2000, tenho dificuldade em concordar :D
Mas essas coisas provavelmente eram menos sofisticadas
Não criptografavam arquivos; abriam uma janela impossível de fechar exigindo pagamento
Às vezes havia frases engraçadas como “obrigado por instalar o widget de acesso rápido a sites adultos”
Eu ficaria até surpreso se não existisse malware que mirasse apenas sistemas com teclado cirílico ativado
Por favor, não ataquem os búlgaros :)
Em qualquer versão do Windows, a melhor defesa contra malware sempre foi transformar a conta padrão usada no dia a dia em uma conta que não seja de administrador
Também é preciso criar uma conta separada com privilégios totais de administrador, que pode ser uma conta local
A senha deve obrigatoriamente ser diferente
Sempre que você precisar instalar algo ou executar PowerShell/CMD como administrador, aparece um pop-up pedindo um login separado da conta administradora
Isso é basicamente igual ao modelo do sudo no Linux, e também é a forma como um departamento de TI profissional de verdade administra Windows
Se surgir um pop-up de elevação de privilégios sem você ter provocado isso diretamente, dá para saber que algo está errado, e a maioria dos malwares não consegue ser instalada
Além disso, dá para usar uma senha relativamente normal, mas não curta demais, na conta comum, e uma senha muito mais complexa para o login de administrador
É especialmente bom para pessoas com alto risco de clicar em coisas erradas, como no caso de um “PC da vovó”
Mesmo quando executado como usuário sem privilégios, ele pode fazer qualquer coisa no sistema de arquivos a que esse usuário tenha acesso e, na maioria das configurações comuns, também pode se conectar à internet externa sem restrições
Ou seja, essa separação de privilégios não impede vazamento de dados, ransomware direcionado a arquivos importantes do usuário nem simples destruição
Depois do Vista, os malwares se adaptaram ao UAC, e hoje todo malware funciona bem mesmo com privilégios de usuário comum
Dados acessíveis por um usuário comum, sejam locais ou em um servidor CIFS remoto, viram alvo de ransomware
Restringir privilégios de administrador não impede o malware de acessar dados
A persistência também migrou para métodos por usuário e sem administrador
Todo tipo de Chromium personalizado semimalicioso que usuários instalam ao procurar software para contornar o departamento de TI funciona do mesmo jeito
Ainda assim, acho que usuários comuns de Windows no dia a dia não deveriam ter privilégios de administrador
Só que isso não ajuda muito contra malware
Para atividades mais sensíveis, principalmente operações bancárias, uso um equipamento fisicamente separado, mas é possível obter um efeito quase parecido mantendo um login Windows separado sem privilégios de administrador e compartimentalizando o acesso a dados que não podem cair nas mãos de ransomware
O isolamento entre contas de usuário diferentes no Windows é, na prática, bastante bom; basta limitar os dados que as contas podem acessar em comum
Pessoalmente, eu queria usar Qubes para parar de usar máquinas fisicamente separadas, mas não consegui arranjar tempo para aprender as peculiaridades dele
Correção: eu deveria ter dito “Chromium personalizado semimalicioso”, não Chrome
Empresas muitas vezes pagam muito mais para recuperar seus dados, e o ransomware Petya é um bom exemplo
Ainda assim, se um invasor tiver privilégios de usuário comum em alguma máquina, ele pode procurar ativamente contas de administrador nessa máquina e na rede e roubar sessões
O objetivo final é obter privilégios de Domain Admin
Além disso, privilégios de administrador nem sempre são necessários para excluir ou criptografar dados, nem para executar ou ocultar software
Além do sequestro de sessão, há muitas formas de obter privilégios de administrador: software sem patch, permissões inadequadas de usuário, zero-days, engenharia social etc.
Também é comum embutir malware ou ransomware em softwares úteis que o usuário quer instalar
Sobre “há alguma desvantagem em tomar essa medida preventiva simples e gratuita? Para mim, não há”, a desvantagem que vem à mente de imediato é o aumento do custo de suporte quando usuários trocam o teclado por engano
Os atalhos para alternar o teclado geralmente não são difíceis de apertar sem querer e, em especial, a maioria dos usuários nos EUA provavelmente não saberia o que fez nem como desfazer
Fico curioso se isso ainda funciona de verdade mesmo depois de Brian Krebs ter divulgado para o mundo em 2021
Rússia e Coreia do Norte veem ransomware como uma atividade econômica legítima
É parte de uma estratégia de guerra híbrida
Isso é principalmente um cálculo jurídico e de aplicação da lei
Se você evita as autoridades russas, elas também evitam você
Além disso, a Rússia não é um terreno de alvos tão fértil quanto os EUA
Nos EUA há muitos funcionários administrativos iniciantes, mal remunerados, dispostos a atualizar informações de pagamento de AP depois de cair em comprometimento de e-mail corporativo (BEC)
Em 2024, as perdas com BEC foram de US$ 2,77 bilhões, a categoria mais lucrativa, e as perdas totais nos EUA foram de US$ 16 bilhões em 859.532 denúncias
Em uma investigação da qual participei, um agente de ameaça chinês usou engenharia social para fazer uma empresa dos EUA criar contas de funcionários
Foi tão convincente que, em determinado ponto, eles até conseguiram inserir suas próprias contas como se fossem administradores no processo de aprovação do fluxo de identidade para criar contas de novos funcionários em uma filial específica
O objetivo era apenas desviar os benefícios de desconto oferecidos aos funcionários e revendê-los, causando cerca de US$ 1 milhão em prejuízos ao longo de alguns anos
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
Fico curioso para saber como é possível estimar a origem de ataques cibernéticos com algum grau de confiança
Às vezes dizem algo como “sabemos que são russos porque as técnicas usadas são técnicas conhecidas de grupos russos”, mas, se essas técnicas apontam tão claramente para um grupo ou país específico, não seria fácil imitá-las para fazer parecer que foram eles?
Se um navio de guerra com bandeira russa atirasse em um navio americano e fugisse sem ser capturado, pareceria tolice dizer “foi 100% a Rússia” só pela bandeira
Poderia ser literalmente uma operação de bandeira falsa, e hoje em dia há motivação política de sobra para fazer esse tipo de coisa
Se você tiver um teclado russo, vira um alvo atraente para malware da NSA
Usam suas próprias distribuições Linux
Mesmo usando teclado russo, antes de conhecer o básico de cibersegurança eu pegava bastante vírus
Fico curioso sobre quão amplamente esse método realmente funciona, no geral, ou se o texto está exagerando
A propagação de vírus comuns misturados em arquivos rar é suficientemente genérica
Por outro lado, se você é uma organização que opera em países da CEI, faz sentido verificar isso com cuidado para não virar alvo dos órgãos de segurança internos
Por exemplo, se você cria uma botnet e a aluga, outro grupo pode causar danos grandes de verdade com ela; então é mais seguro simplesmente hospedá-la no exterior