Muitos ransomware param de executar quando um teclado em russo está instalado (2021)

 (krebsonsecurity.com)
4 pontos por GN⁺ 2025-06-30 | 1 comentários | Compartilhar no WhatsApp
  • A maioria dos ransomware interrompe a execução se o sistema-alvo infectado tiver instalado um teclado de idioma de países da CIS, como russo ou ucraniano
  • Essa técnica de evasão tem como objetivo evitar que grupos criminosos façam de instituições ou indivíduos do próprio país vítimas, fugindo assim da atenção das autoridades locais
  • Apenas mudar o idioma do teclado não torna possível se defender de todo malware; no fundo, é necessário seguir diversas práticas de segurança
  • Adicionar um idioma de teclado é algo fácil e gratuito de fazer, com quase nenhum efeito colateral
  • Mesmo que hackers russos contornem isso, o risco jurídico aumenta, então a medida tem algum efeito como defesa

Efeito de bloquear infecções por ransomware ao instalar um teclado russo/ucraniano

Detecção do idioma do teclado e interrupção da execução do ransomware

  • Em discussões recentes no Twitter sobre ataques de ransomware, foi mencionado que um grande número de ransomware possui uma proteção embutida que interrompe a execução quando há teclados virtuais como russo ou ucraniano instalados no Microsoft Windows
  • Isso é usado principalmente por malware originado no Leste Europeu
  • Por exemplo, muitos ransomware não infectam o sistema se um idioma de país da CIS (Comunidade dos Estados Independentes) estiver instalado
  • O principal objetivo é fazer com que esses grupos criminosos evitem investigações legais dentro do próprio país

Caso Colonial Pipeline e o grupo DarkSide

  • Esse ponto ganhou destaque durante as discussões sobre o ataque de ransomware à Colonial Pipeline
  • O ataque foi conduzido pelo DarkSide, um grupo de ransomware como serviço que tinha grandes empresas como principal alvo
  • Organizações criminosas baseadas na Rússia vinham impondo internamente a proibição de infectar Ucrânia, Rússia e outros países do Leste Europeu
  • Essa política existe para evitar investigações e interferência dos governos locais

Estrutura legal na Rússia e no Leste Europeu

  • Na Rússia, investigações de crimes cibernéticos só começam oficialmente quando as vítimas são cidadãos do próprio país
  • Por isso, a forma mais segura para os criminosos é não causar danos a sistemas nacionais
  • Na prática, vários grupos de ransomware, como DarkSide e REvil, seguem essa política com rigor

Detecção de idioma codificada no código

  • O DarkSide e vários outros malwares colocam idiomas de países da CIS em uma lista codificada diretamente e não executam se detectarem esses idiomas no sistema
  • De fato, incontáveis malwares verificam o idioma do sistema para decidir se vão ou não executar

Limites do método de evasão e efeito real

  • Instalar um teclado em russo ou outro idioma de país da CIS pode ter efeito preventivo contra parte dos ransomware
  • Mas isso não protege contra todo malware, e uma estratégia de defesa em camadas é indispensável
  • Os efeitos colaterais de mudar o idioma também não são grandes. Mesmo que o idioma seja alterado por engano, dá para trocar facilmente com Windows+Spacebar

Possíveis mudanças na estratégia dos atacantes

  • Alguns especialistas avaliam que os atacantes podem simplesmente deixar de verificar o idioma
  • De fato, em uma versão recente do DarkSide analisada pela Mandiant, a checagem de idioma foi omitida
  • Porém, fazer isso aumenta consideravelmente o risco jurídico para os criminosos

Comentário de especialistas e o 'efeito vacina'

  • Allison Nixon, da Unit221B, explica que hackers russos usam essa checagem de idioma para obter uma espécie de proteção legal
  • Adicionar esse idioma e teclado pode funcionar como uma espécie de 'vacina contra malware russo'
  • Se esse método for usado em larga escala, os criminosos passam a enfrentar um dilema entre proteção legal e lucro
  • Assim como os profissionais de segurança do Ocidente, os criminosos têm dificuldade para distinguir se um sistema é realmente local

Evasão de detecção de ambiente de máquina virtual

  • Alguns usuários do Twitter também sugeriram adicionar entradas de registro que indiquem explicitamente que se trata de uma máquina virtual
  • Isso já foi eficaz no passado, mas hoje muitas organizações usam máquinas virtuais no dia a dia, então essa técnica já não é mais confiável

Como adicionar facilmente o idioma

  • Lance James, da Unit221B, criou e distribuiu um script batch de duas linhas para Windows que faz o sistema parecer ter um teclado russo instalado
  • Esse script permite obter efeito de evitar infecção sem baixar de fato bibliotecas reais do idioma russo
  • Pelo método tradicional, também é possível adicionar facilmente o idioma do teclado em 'Configurações → Hora e idioma → Adicionar idioma'
  • Se por acaso a configuração de idioma mudar e os menus aparecerem em russo, é possível alternar o idioma com a combinação Windows+Spacebar

Leituras relacionadas

1 comentários

 
GN⁺ 2025-06-30
Comentários do Hacker News

  • A ideia é que, se você fizer seu computador parecer um sandbox de análise de malware, muitos malwares vão se encerrar para evitar análise; isso dá uma sensação de jogo de gato e rato

    • Como hoje em dia a maioria dos servidores Windows roda em ambientes virtualizados, talvez isso não seja tão eficaz quanto antigamente, embora ainda possam considerar outros indicadores
    • Uma sugestão brincalhona de colocar a string VirtualBox no firmware
    • Foi mencionado que esse assunto já apareceu antes em outro post do Hacker News, neste link
    • A piada de que agora talvez seja preciso instalar o Ghidra em cada workstation
    • Em resposta à afirmação de que “se eu disfarçar meu computador como um sandbox, muito malware vai se encerrar para evitar análise”, houve a contestação de que essa é uma preocupação completamente diferente. O ponto enfatizado é que, se o método de entrada em russo estiver instalado, o malware encerra para evitar risco jurídico

  • A opinião de que há muitas evidências de que esse método (detectar teclado russo) realmente funcionou contra grupos como Patya, Fancy Bear, Cozy Bear e Conti, principalmente porque o governo russo garante impunidade desde que eles não atinjam seus próprios cidadãos
    Também foi dito que, em alguns casos, se você demonstrar ser russo ou conversar em russo com os atacantes, eles descriptografam o sistema de graça

    • Um comentário dizendo ter curiosidade sobre como “descriptografia gratuita se você se identificar como russo” funciona na era da tradução por IA, lembrando também de casos antigos de desenvolvedores russos de shareware que davam licenças grátis para russos
    • Ênfase em que grupos de hackers russos conhecem muito bem a política de “não fazer bagunça dentro da própria tenda (don’t piss inside the tent)” e todos entendem isso
    • A observação de que a realidade pode não ser tão simples: russos estão em toda parte e podem trabalhar até nas empresas vítimas; se o resgate for de milhões de dólares, talvez não liberem alguém só por dizer que é russo, podendo ser necessário convencer de que a empresa é realmente de propriedade russa ou apresentar algo como “meu pai trabalha no FSB”

  • Um russo compartilhou a experiência pessoal de remover “winlocker” dos computadores de amigos pouco familiarizados com tecnologia no fim dos anos 2000; esses malwares não apenas criptografavam arquivos, mas exibiam janelas impossíveis de fechar exigindo dinheiro, com frases engraçadas como “obrigado pelo widget de acesso rápido a sites adultos”

  • A sugestão de que certamente deve haver malware que mira especificamente sistemas com teclado cirílico ativado, insinuando que a presença de um ambiente em russo também é um ponto que atacantes verificam

  • Dica de que a melhor forma de antimalware no Windows é transformar a conta padrão do dia a dia em uma conta comum, sem privilégios de administrador Criar separadamente uma conta de administrador local e usar uma senha diferente; quando for necessário instalar software, executar PowerShell ou fazer tarefas administrativas, será exigida autenticação de administrador, então um pop-up suspeito passa a ser um sinal de que algo está errado A conta comum pode usar uma senha normal (mas não curta), enquanto a conta de administrador pode ter uma senha complexa, o que é especialmente recomendado para familiares sem muito conhecimento de TI

    • A ressalva de que, mesmo sem privilégios de administrador, o malware ainda pode fazer muita coisa; não há grandes restrições para acessar o sistema de arquivos do usuário ou se conectar à internet, então essa separação de privilégios não impede vazamento de dados, ransomware ou destruição de dados
    • A explicação de que isso fazia sentido do começo dos anos 2000 até 2012, mas desde o Vista o malware evoluiu para se adaptar ao UAC e funcionar bem mesmo com conta comum, então a ausência de privilégios de administrador não ajuda muito a proteger os dados; foi citado como alternativa usar um computador físico separado para as tarefas mais sensíveis (principalmente financeiras) ou tentar isolar dados com separação de contas de usuário no Windows, além da opinião pessoal de que seria interessante usar um sistema fortemente isolado como o Qubes OS, embora ainda não tenha aprendido
    • Um resumo de que, no fim, a explicação do usuário é basicamente a mesma abordagem que o User Account Control (UAC) vem aplicando por padrão desde o Windows Vista
    • A opinião de que ataques de ransomware do crime organizado têm como alvo principal empresas, não pessoas físicas, então ransomware é visto muito mais em ambiente corporativo do que pessoal. Usando o Petya como exemplo, foi mencionado um cenário em que mesmo privilégios de usuário comum bastam para capturar sessões administrativas na rede interna ou obter privilégios de administrador de domínio; também foi explicado que é possível apagar ou criptografar dados e ocultar malware sem privilégios de administrador, e que malware incluído em pacote com software pode ser instalado pelo próprio usuário
    • Com link para a tirinha xkcd 1200, a ideia é que a separação de contas faz sentido em computadores usados por várias pessoas, mas tem eficácia limitada quando a maioria dos casos envolve um único usuário; a conclusão é que, na prática, separar privilégios administrativos em um PC pessoal não ajuda muito a evitar invasões

  • Curiosidade sobre se esse método ainda funciona mesmo depois de Brian Krebs ter divulgado isso em 2021

    • A alegação de que Rússia e Coreia do Norte tratam ransomware como atividade econômica legal e continuam com isso como parte de uma estratégia de guerra híbrida
    • A explicação de que, no fundo, trata-se de uma questão legal e investigativa, então existe uma regra implícita de não mexer com o governo russo para não ser incomodado; foi enfatizado que os EUA são um mercado de pilhagem muito maior do que a Rússia, citando estatísticas do FBI de que o golpe de Business Email Compromise (BEC) causou US$ 2,7 bilhões em prejuízos só em 2024, além de um caso em que um agente de ameaça chinês conseguiu emprego em uma empresa americana se passando por funcionário e desviou benefícios internos de desconto para empregados no valor de dezenas de milhares de dólares, gerando prejuízo de US$ 1 milhão
    • Link para o Relatório de Crimes na Internet do FBI 2024

  • Um comentário curto dizendo que o próprio título é engraçado, com a nuance de que a premissa de que a maioria dos ransomwares vem da Rússia parece soar natural

  • A ideia de que a presença de um teclado russo talvez torne a máquina mais atraente para malware da NSA

    • Uma curiosidade de que Rússia, China e outros países proíbem Windows em órgãos governamentais e militares sensíveis, usando suas próprias distribuições Linux

  • Uma mensagem curtíssima deixando apenas “2021”

    • A curiosidade sobre se a Ucrânia foi removida da lista de exclusão, observando que o layout de teclado é diferente do russo

  • A dúvida sobre se, além do layout de teclado, eles também verificam fuso horário e várias outras informações quando o horário muda