4 pontos por GN⁺ 2025-06-30 | 1 comentários | Compartilhar no WhatsApp
  • Muitas variantes de ransomware têm uma salvaguarda que interrompe a instalação se um teclado russo ou ucraniano estiver instalado no Windows, uma condição de evasão amplamente vista em malware originado do Leste Europeu
  • Serviços de ransomware como o DarkSide mantêm regiões proibidas para infecção, para não criar vítimas na Rússia, Ucrânia e outros países do Leste Europeu, tentando evitar a atenção das autoridades locais
  • Após o ataque à Colonial Pipeline, o DarkSide afirmou ser “apolítico”, mas as próprias condições regionais de funcionamento do malware refletem restrições geopolíticas
  • Adicionar um teclado russo ou valores relacionados no Registro pode servir como uma medida preventiva gratuita contra alguns malwares de origem russa, mas não substitui defesa em profundidade nem hábitos seguros de uso
  • Embora os invasores possam remover a verificação de idioma, Allison Nixon, da Unit221B, acredita que, nesse caso, hackers russos teriam de escolher entre perder proteção legal e perder receita

Idiomas e regiões que o ransomware evita

  • Muitas variantes de ransomware verificam se determinados teclados virtuais estão instalados em sistemas Microsoft Windows e interrompem a instalação quando detectam idiomas como russo ou ucraniano
  • Operadores de malware incluem esse tipo de mecanismo à prova de falhas para evitar vítimas em sua própria região
  • A região da Comunidade dos Estados Independentes (CEI) em geral coincide com as listas de exclusão de infecção de muitos malwares vindos do Leste Europeu
  • O DarkSide também tem uma lista codificada de países onde a instalação é proibida, correspondente aos principais membros da CEI, e a Cybereason divulgou essa lista

O caso Colonial Pipeline e DarkSide

  • Esta discussão está ligada ao ataque de ransomware à Colonial Pipeline
    • O ataque fez o oleoduto de combustível de 5.500 milhas parar por quase uma semana no início deste mês
    • Isso levou à falta de abastecimento em postos de gasolina e ao aumento de preços em todo os EUA
    • O FBI afirmou que o responsável pelo ataque foi o DarkSide
  • O DarkSide é uma operação relativamente nova de ransomware-as-a-service que diz mirar apenas grandes empresas
  • O DarkSide e outros programas de afiliados de língua russa há muito impedem a instalação de malware em computadores de vários países do Leste Europeu, incluindo Rússia e Ucrânia

Por que a evasão regional é usada

  • Na Rússia, sabe-se que, em geral, as autoridades não iniciam investigações de crimes cibernéticos contra seus cidadãos se empresas ou indivíduos locais não registrarem uma queixa formal como vítimas
  • Para criminosos, evitar vítimas no próprio país é a forma mais fácil de ficar fora do radar das autoridades nacionais de investigação
  • O DarkSide tentou se distanciar do ataque à Colonial Pipeline depois de ser mencionado na ordem executiva de cibersegurança do presidente Biden
    • Em seu blog público de vítimas, afirmou ser “apolítico”
    • Disse que seu objetivo é ganhar dinheiro, não criar problemas para a sociedade
    • Afirmou que, no futuro, analisaria as empresas que seus parceiros pretendem criptografar para evitar consequências sociais
  • No entanto, grupos de extorsão digital como o DarkSide projetam seu malware para funcionar apenas em determinadas regiões, de modo que a própria plataforma reflete condições políticas regionais

REvil, GandCrab e listas de exclusão de infecção

  • Especialistas em segurança têm apontado ligações entre o DarkSide e o REvil, também conhecido como Sodinokibi
  • O REvil era conhecido anteriormente como GandCrab, e tanto o GandCrab quanto o REvil proibiam afiliados de infectar vítimas sírias
  • A lista de exclusão do DarkSide também inclui a Síria
  • Posteriormente, o DarkSide anunciou o encerramento das operações, dizendo que seus servidores e fundos em bitcoin haviam sido apreendidos, e nesse processo sua conexão com o REvil veio à tona

Limites de instalar um teclado russo

  • Instalar um idioma como russo não torna um computador Windows seguro contra todos os malwares
  • Há muitos malwares que não se importam com localização ou idioma
  • Esse método não substitui defesa em profundidade nem o hábito de evitar comportamentos arriscados online
  • As desvantagens não são grandes, mas é possível alternar a configuração de idioma por engano e ver menus em russo
    • Nesse caso, pressionar a tecla Windows e a barra de espaço ao mesmo tempo permite alternar rapidamente entre os idiomas instalados

Os invasores podem mudar a verificação de idioma?

  • Invasores reagem de forma sensível a defesas que reduzem sua lucratividade e podem modificar o malware para ignorar a verificação de idioma
  • De fato, uma versão recente do DarkSide analisada pela Mandiant não realizava verificação de idioma do sistema
  • Allison Nixon, da Unit221B, acredita que remover a verificação de idioma aumenta riscos não desprezíveis à segurança pessoal e ao patrimônio dos invasores
  • Segundo Nixon, hackers russos usam essas verificações por causa da cultura jurídica peculiar da Rússia, para atacar apenas vítimas fora do país
  • Apenas instalar um teclado cirílico ou alterar determinadas entradas do Registro para RU pode fazer alguns malwares considerarem o usuário russo e excluí-lo da lista de alvos

Pressão que a adoção em larga escala poderia criar

  • Nixon acredita que, se muitas pessoas usarem esse método, ele pode proteger alguns usuários no curto prazo
  • No longo prazo, hackers russos teriam de aceitar o risco de perder proteção legal ou o risco de perder receita
  • Hackers russos também passariam a enfrentar um problema semelhante ao dos defensores ocidentais: distinguir computadores domésticos reais de computadores estrangeiros se passando por domésticos

Evasão de detecção de VM e método pelo Registro

  • Alguns leitores também sugeriram adicionar ao Registro do Windows entradas que façam o sistema parecer uma máquina virtual (VM)
  • Lance James, da Unit221B, acredita que a identificação como VM já não bloqueia malware como antes
    • Isso porque muitas organizações passaram a usar ambientes virtuais no trabalho cotidiano
    • Muitos ransomwares observados atualmente também são executados em VMs
  • James apoia a ideia de adicionar idiomas da lista de países da CEI e criou um script batch de duas linhas que faz um PC Windows parecer ter um teclado russo instalado
  • Esse script adiciona referências ao russo a chaves específicas do Registro do Windows verificadas por malware, sem precisar baixar bibliotecas adicionais de script da Microsoft

Como adicionar um idioma no Windows 10

  • Para instalar diretamente outro idioma de teclado no Windows 10, pressione a tecla Windows e X e selecione Settings
  • Em seguida, selecione “Time and Language” e, no menu Language, escolha a opção para instalar outro conjunto de caracteres
  • O idioma será instalado na próxima reinicialização
  • Quando precisar alternar o idioma, use a combinação Windows+Spacebar

1 comentários

 
GN⁺ 2025-06-30
Opiniões no Hacker News
  • Se você fizer a máquina parecer um sandbox de execução de malware, muitos malwares encerram a execução para evitar análise
    No fim, esse tipo de coisa faz parte do jogo de gato e rato

    • Malwares sofisticados verificam o número de núcleos de CPU do PC, a capacidade do disco rígido, e alguns chegam a olhar a temperatura do hardware ou a presença de depuradores
      Malwares para Windows ficaram bastante sofisticados nos últimos 30 anos
    • Hoje em dia, a maioria dos servidores Windows é virtualizada, então não sei bem se esse método ainda funcionaria
      Mas eles podem observar outros indicadores
    • Basta colocar uma string do VirtualBox no firmware :)
    • Isso também apareceu em outro post da primeira página, e provavelmente esta submissão veio daqui: https://news.ycombinator.com/item?id=44413185
  • Há evidências de que isso funcionou contra ransomware como Petya e grupos como Fancy Bear, Cozy Bear e Conti
    Em geral, porque o governo russo garante informalmente impunidade se o alvo não for a Rússia
    Além disso, se você se identificar como russo ou escrever em russo no chat/e-mail, às vezes eles descriptografam seu sistema de graça

    • Fico curioso para saber como isso vai funcionar na era da tradução por IA
      Não é exatamente a mesma coisa, mas me lembro de um desenvolvedor russo de shareware que dava licenças gratuitas a russos
    • Acho que não é tão simples assim
      Há muitos russos em todos os lugares e eles podem trabalhar na empresa vítima; então, se o resgate for de milhões de dólares, só ser russo não vai bastar
      Provavelmente seria preciso convencê-los com algo como a empresa ser de propriedade russa, ou seu pai trabalhar no FSB
    • Aqui você acertou o ponto principal
      A política de não mijar dentro da própria barraca é bem compreendida por quase todos os grupos russos
    • Acho que o motivo para não atacar russos é que, se a vítima denunciar à polícia, a polícia é obrigada a iniciar uma investigação
      Estrangeiros não criam esse problema nesse sentido
      Não acho que exista alguma impunidade especial
      Mas estrangeiros também podem criar problemas de vez em quando
      Recentemente, vários especialistas em cibersegurança foram condenados depois de uma investigação iniciada por uma denúncia de Joe Biden
  • Como russo que removeu muito winlocker de computadores de colegas de escola pouco familiarizados com tecnologia no fim dos anos 2000, tenho dificuldade em concordar :D
    Mas essas coisas provavelmente eram menos sofisticadas
    Não criptografavam arquivos; abriam uma janela impossível de fechar exigindo pagamento
    Às vezes havia frases engraçadas como “obrigado por instalar o widget de acesso rápido a sites adultos”

  • Eu ficaria até surpreso se não existisse malware que mirasse apenas sistemas com teclado cirílico ativado

    • Existem muitos tipos de teclado cirílico
      Por favor, não ataquem os búlgaros :)
    • Claro que agências como a CIA precisam distinguir seus próprios alvos
  • Em qualquer versão do Windows, a melhor defesa contra malware sempre foi transformar a conta padrão usada no dia a dia em uma conta que não seja de administrador
    Também é preciso criar uma conta separada com privilégios totais de administrador, que pode ser uma conta local
    A senha deve obrigatoriamente ser diferente
    Sempre que você precisar instalar algo ou executar PowerShell/CMD como administrador, aparece um pop-up pedindo um login separado da conta administradora
    Isso é basicamente igual ao modelo do sudo no Linux, e também é a forma como um departamento de TI profissional de verdade administra Windows
    Se surgir um pop-up de elevação de privilégios sem você ter provocado isso diretamente, dá para saber que algo está errado, e a maioria dos malwares não consegue ser instalada
    Além disso, dá para usar uma senha relativamente normal, mas não curta demais, na conta comum, e uma senha muito mais complexa para o login de administrador
    É especialmente bom para pessoas com alto risco de clicar em coisas erradas, como no caso de um “PC da vovó”

    • Malware pode fazer muita coisa sem “instalação”
      Mesmo quando executado como usuário sem privilégios, ele pode fazer qualquer coisa no sistema de arquivos a que esse usuário tenha acesso e, na maioria das configurações comuns, também pode se conectar à internet externa sem restrições
      Ou seja, essa separação de privilégios não impede vazamento de dados, ransomware direcionado a arquivos importantes do usuário nem simples destruição
    • Eu teria concordado com isso do início dos anos 2000 até mais ou menos 2012
      Depois do Vista, os malwares se adaptaram ao UAC, e hoje todo malware funciona bem mesmo com privilégios de usuário comum
      Dados acessíveis por um usuário comum, sejam locais ou em um servidor CIFS remoto, viram alvo de ransomware
      Restringir privilégios de administrador não impede o malware de acessar dados
      A persistência também migrou para métodos por usuário e sem administrador
      Todo tipo de Chromium personalizado semimalicioso que usuários instalam ao procurar software para contornar o departamento de TI funciona do mesmo jeito
      Ainda assim, acho que usuários comuns de Windows no dia a dia não deveriam ter privilégios de administrador
      Só que isso não ajuda muito contra malware
      Para atividades mais sensíveis, principalmente operações bancárias, uso um equipamento fisicamente separado, mas é possível obter um efeito quase parecido mantendo um login Windows separado sem privilégios de administrador e compartimentalizando o acesso a dados que não podem cair nas mãos de ransomware
      O isolamento entre contas de usuário diferentes no Windows é, na prática, bastante bom; basta limitar os dados que as contas podem acessar em comum
      Pessoalmente, eu queria usar Qubes para parar de usar máquinas fisicamente separadas, mas não consegui arranjar tempo para aprender as peculiaridades dele
      Correção: eu deveria ter dito “Chromium personalizado semimalicioso”, não Chrome
    • O que você acabou de descrever soa como o que o Windows Vista, isto é, desde 2006, vem fazendo com o Controle de Conta de Usuário (UAC)
    • Normalmente, pessoas físicas não são alvo de ataques de ransomware do crime organizado
      Empresas muitas vezes pagam muito mais para recuperar seus dados, e o ransomware Petya é um bom exemplo
      Ainda assim, se um invasor tiver privilégios de usuário comum em alguma máquina, ele pode procurar ativamente contas de administrador nessa máquina e na rede e roubar sessões
      O objetivo final é obter privilégios de Domain Admin
      Além disso, privilégios de administrador nem sempre são necessários para excluir ou criptografar dados, nem para executar ou ocultar software
      Além do sequestro de sessão, há muitas formas de obter privilégios de administrador: software sem patch, permissões inadequadas de usuário, zero-days, engenharia social etc.
      Também é comum embutir malware ou ransomware em softwares úteis que o usuário quer instalar
    • Em qualquer versão do Windows, a melhor defesa contra malware é não usar Windows
  • Sobre “há alguma desvantagem em tomar essa medida preventiva simples e gratuita? Para mim, não há”, a desvantagem que vem à mente de imediato é o aumento do custo de suporte quando usuários trocam o teclado por engano
    Os atalhos para alternar o teclado geralmente não são difíceis de apertar sem querer e, em especial, a maioria dos usuários nos EUA provavelmente não saberia o que fez nem como desfazer

    • Não sou usuário de Windows, mas um administrador de sistemas não poderia ativar esse teclado e desativar o atalho de alternância?
  • Fico curioso se isso ainda funciona de verdade mesmo depois de Brian Krebs ter divulgado para o mundo em 2021

    • Sempre foi assim e continuará sendo
      Rússia e Coreia do Norte veem ransomware como uma atividade econômica legítima
      É parte de uma estratégia de guerra híbrida
    • Sim, certamente
      Isso é principalmente um cálculo jurídico e de aplicação da lei
      Se você evita as autoridades russas, elas também evitam você
      Além disso, a Rússia não é um terreno de alvos tão fértil quanto os EUA
      Nos EUA há muitos funcionários administrativos iniciantes, mal remunerados, dispostos a atualizar informações de pagamento de AP depois de cair em comprometimento de e-mail corporativo (BEC)
      Em 2024, as perdas com BEC foram de US$ 2,77 bilhões, a categoria mais lucrativa, e as perdas totais nos EUA foram de US$ 16 bilhões em 859.532 denúncias
      Em uma investigação da qual participei, um agente de ameaça chinês usou engenharia social para fazer uma empresa dos EUA criar contas de funcionários
      Foi tão convincente que, em determinado ponto, eles até conseguiram inserir suas próprias contas como se fossem administradores no processo de aprovação do fluxo de identidade para criar contas de novos funcionários em uma filial específica
      O objetivo era apenas desviar os benefícios de desconto oferecidos aos funcionários e revendê-los, causando cerca de US$ 1 milhão em prejuízos ao longo de alguns anos
      https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
  • Fico curioso para saber como é possível estimar a origem de ataques cibernéticos com algum grau de confiança
    Às vezes dizem algo como “sabemos que são russos porque as técnicas usadas são técnicas conhecidas de grupos russos”, mas, se essas técnicas apontam tão claramente para um grupo ou país específico, não seria fácil imitá-las para fazer parecer que foram eles?
    Se um navio de guerra com bandeira russa atirasse em um navio americano e fugisse sem ser capturado, pareceria tolice dizer “foi 100% a Rússia” só pela bandeira
    Poderia ser literalmente uma operação de bandeira falsa, e hoje em dia há motivação política de sobra para fazer esse tipo de coisa

  • Se você tiver um teclado russo, vira um alvo atraente para malware da NSA

    • Rússia, China etc. proíbem o uso de Windows em equipamentos de militares ou funcionários governamentais sensíveis
      Usam suas próprias distribuições Linux
  • Mesmo usando teclado russo, antes de conhecer o básico de cibersegurança eu pegava bastante vírus
    Fico curioso sobre quão amplamente esse método realmente funciona, no geral, ou se o texto está exagerando

    • Acho que isso tem a ver com ataques direcionados e campanhas
      A propagação de vírus comuns misturados em arquivos rar é suficientemente genérica
      Por outro lado, se você é uma organização que opera em países da CEI, faz sentido verificar isso com cuidado para não virar alvo dos órgãos de segurança internos
      Por exemplo, se você cria uma botnet e a aluga, outro grupo pode causar danos grandes de verdade com ela; então é mais seguro simplesmente hospedá-la no exterior