Prueba este truco extraño que odian los hackers rusos: Krebs sobre seguridad


en un Gorjeo debate la semana pasada sobre los ataques de ransomware, KrebsOnSecurity señalado que prácticamente todas las variedades de ransomware tienen un dispositivo de seguridad integrado diseñado para cubrir la parte trasera de los proveedores de malware: simplemente no se instalarán en un Microsoft Windows computadora que ya tiene uno de los muchos tipos de teclados virtuales instalados, como el ruso o el ucraniano. Tantos lectores tenían preguntas en respuesta al tweet que pensé que valía la pena una publicación de blog explorando este extraño truco de defensa cibernética.

La Comunidad de Estados Independientes (CEI) coincide más o menos con la lista de exclusión de una gran cantidad de malware procedente de Europa del Este.

El hilo de Twitter surgió en una discusión sobre el ataque de ransomware contra Colonial Pipeline, que a principios de este mes cerró 5.500 millas de tubería de flamable durante casi una semana, lo que provocó escasez de suministro de estaciones de combustible en todo el país y elevó los precios. La El FBI dijo el ataque fue obra de Lado oscuro, una nueva oferta de ransomware como servicio que dice que se dirige solo a grandes corporaciones.

DarkSide y otros programas de generación de dinero de afiliados en ruso han impedido durante mucho tiempo que sus asociados criminales instalen software malicioso en computadoras en una gran cantidad de países de Europa del Este, incluidos Ucrania y Rusia. Esta prohibición se remonta a los primeros días de la delincuencia cibernética organizada y tiene como objetivo minimizar el escrutinio y la interferencia de las autoridades locales.

En Rusia, por ejemplo, las autoridades allí generalmente no iniciarán una investigación de delito cibernético contra uno de los suyos a menos que una empresa o individuo dentro de las fronteras del país presente una denuncia oficial como víctima. Asegurarse de que ningún afiliado pueda producir víctimas en sus propios países es la forma más fácil para que estos delincuentes se mantengan fuera del radar de las agencias de aplicación de la ley nacionales.

Posiblemente sintiendo el calor de estar referenciado en Orden ejecutiva del presidente Biden sobre ciberseguridad la semana pasada, el grupo DarkSide buscó distanciarse de su ataque contra Colonial Pipeline. En un mensaje publicado en su web site para avergonzar a las víctimas, DarkSide trató de decir que period «apolítico» y que no deseaba participar en la geopolítica.

“Nuestro objetivo es ganar dinero y no crear problemas para la sociedad”, escribieron los criminales de DarkSide la semana pasada. “A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro”.

Pero aquí está la cosa: Las bandas de extorsión digital como DarkSide se preocupan mucho de hacer que todas sus plataformas sean geopolíticas, porque su malware está diseñado para funcionar solo en ciertas partes del mundo.

DarkSide, como muchas otras variedades de malware, tiene una lista codificada de países que no se instalan y que son los principales miembros de la Comunidad de Estados Independientes (CEI), antiguos satélites soviéticos que actualmente tienen relaciones favorables con el Kremlin. , incluidos Azerbaiyán, Bielorrusia, Ga, Rumania, Turkmenistán, Ucrania y Uzbekistán. La lista de exclusión completa en DarkSide (publicada por Cyberazon) Esta abajo:

Imagen: Cybereason.

En pocas palabras, innumerables cepas de malware comprobarán la presencia de uno de estos idiomas en el sistema y, si se detectan, el malware se cerrará y no se instalará.

(Nota al margen. Muchos expertos en seguridad han señalado conexiones entre los grupos de ransomware DarkSide y REvil (también conocido como «Sodinokibi»). REvil se conocía anteriormente como GandCrab, y una de las muchas cosas que GandCrab tenía en común con REvil period que ambos programas prohibían a los afiliados de infectar a las víctimas en Siria. Como podemos ver en el gráfico anterior, Siria también está exenta de infecciones por el ransomware DarkSide. Y el propio DarkSide demostró su conexión con REvil la semana pasada cuando anunció que cerraría sus operaciones después de sus servidores y fondos de bitcoin fueron incautados.)

EMPTOR DE CAVEAT

¿La instalación de uno de estos idiomas mantendrá su computadora con Windows a salvo de todo malware? Absolutamente no. Existe una gran cantidad de computer software malicioso al que no le importa en qué parte del mundo se encuentre. Y no hay sustituto para adoptar una postura de defensa en profundidad y evitar comportamientos de riesgo en línea.

Pero, ¿hay realmente una desventaja en adoptar este enfoque profiláctico easy, gratuito? Ninguno que yo pueda ver, salvo quizás una sensación de hundimiento de capitulación. Lo peor que podría suceder es que accidentalmente cambie la configuración de idioma y todas las opciones de su menú estén en ruso.

Si esto sucede (y la primera vez que sucede, la experiencia puede ser un poco discordante) presione la tecla de Home windows y la barra espaciadora al mismo tiempo si tiene más de un idioma instalado, verá la capacidad de alternar rápidamente de uno a otro. El pequeño cuadro que aparece cuando uno presiona ese combo de teclado se ve así:

Los ciberdelincuentes responden notoriamente a las defensas que reducen su rentabilidad, entonces, ¿por qué los malos no iban a cambiar las cosas y empezar a ignorar la verificación del idioma? Bueno, ciertamente pueden y tal vez incluso lo hagan (una versión reciente de DarkSide analizada por Mandiant hizo no realizar la verificación del idioma del sistema).

Pero hacerlo aumenta el riesgo para su seguridad individual y su fortuna en una cantidad no trivial, dijo. Allison Nixon, director de investigación de la firma de investigaciones cibernéticas con sede en la ciudad de Nueva York Unidad221B.

Nixon dijo que debido a la cultura lawful única de Rusia, los piratas informáticos en ese país emplean estos controles para asegurarse de que solo están atacando a víctimas fuera del país.

«Esto es para su protección lawful», dijo Nixon. “Instalar un teclado cirílico o cambiar una entrada de registro específica para que diga &#39RU&#39, and so forth., podría ser suficiente para convencer al malware de que eres ruso y estás fuera de los límites. Esto se puede utilizar técnicamente como una &#39vacuna&#39 contra el malware ruso «.

Nixon dijo que si suficientes personas hacen esto en grandes cantidades, a corto plazo puede proteger a algunas personas, pero lo que es más importante a largo plazo, obliga a los piratas informáticos rusos a tomar una decisión: arriesgarse a perder protecciones legales o arriesgarse a perder ingresos.

“Esencialmente, los piratas informáticos rusos terminarán enfrentando la misma dificultad que deben enfrentar los defensores en Occidente: el hecho de que es muy difícil distinguir entre una máquina doméstica y una máquina extranjera disfrazada de doméstica”, dijo.

KrebsOnSecurity le preguntó a un colega de Nixon en Unit221B – fundador Lance James – lo que pensaba sobre la eficacia de otro enfoque anti-malware sugerido por los seguidores de Twitter que intervinieron en la discusión de la semana pasada: agregar entradas al registro de Home windows que especifiquen que el sistema se está ejecutando como una máquina virtual (VM). En un intento por obstaculizar el análisis de las firmas antivirus y de seguridad, algunos autores de malware tradicionalmente han configurado su malware para que deje de instalarse si detecta que se está ejecutando en un entorno digital.

Pero James dijo que esta prohibición ya no es tan común, especialmente porque muchas organizaciones han hecho la transición a entornos virtuales para el uso diario.

«Ser una máquina virtual no detiene el malware como solía hacerlo», dijo James. «De hecho, gran parte del ransomware que estamos viendo ahora se ejecuta en máquinas virtuales».

Pero James dice que le encanta la plan de que todos agreguen un idioma de la lista de países de la CEI tanto que ha producido el suyo secuencia de comandos por lotes de Home windows de dos líneas en la que se puede hacer clic que agrega una referencia en ruso en las claves de registro de Home windows específicas que son verificadas por malware. La secuencia de comandos permite que la Laptop con Home windows parezca que tiene un teclado ruso instalado sin tener que descargar las bibliotecas de secuencias de comandos agregadas de Microsoft.

Para instalar un idioma de teclado diferente en una computadora con Windows 10 a la antigua, presione la tecla de Windows y la X al mismo tiempo, luego seleccione Configuración y luego seleccione «Hora e idioma». Seleccione Idioma y luego desplácese hacia abajo y debería ver una opción para instalar otro juego de caracteres. Elija uno y el idioma debe instalarse la próxima vez que reinicie. Nuevamente, si por alguna razón necesita alternar entre idiomas, Home windows + Barra espaciadora es su amigo.





Enlace a la noticia first