Experimente este truque estranho que hackers russos odeiam

Views: 392
0 0
Read Time:6 Minute, 49 Second

Em uma discussão no Twitter na semana passada sobre ataques de ransomware, o KrebsOnSecurity observou que praticamente todas as cepas de ransomware têm um sistema de falhas incorporado projetado para cobrir os backsides dos fornecedores de malware: Eles simplesmente não instalarão em um computador Microsoft Windows que já tem um dos muitos tipos de teclados virtuais instalados — como russo ou ucraniano. Tantos leitores tiveram perguntas em resposta ao tweet que eu pensei que valia a pena um post no blog explorando este estranho truque de defesa cibernética.

A Comunidade dos Estados Independentes (CIS) mais ou menos corresponde à lista de exclusão de um monte de malware que sai da Europa Oriental.

A thread do Twitter surgiu em uma discussão sobre o ataque de ransomware contra a Colonial Pipeline, que no início deste mês fechou 5.500 milhas de tubos de combustível por quase uma semana, causando escassez de suprimentos em todo o país e elevando os preços. O FBI disse que o ataque foi obra da DarkSide, uma oferta de ransomware como serviço que diz que tem como alvo apenas grandes corporações.

A DarkSide e outros programas de fazer dinheiro de afiliados em língua russa há muito impedem seus associados criminosos de instalar softwares maliciosos em computadores em vários países do Leste Europeu, incluindo Ucrânia e Rússia. Essa proibição remonta aos primeiros dias de crimes cibernéticos organizados, e tem como objetivo minimizar o escrutínio e a interferência das autoridades locais.

Na Rússia, por exemplo, as autoridades de lá geralmente não iniciarão uma investigação de crimes cibernéticos contra um deles, a menos que uma empresa ou indivíduo dentro das fronteiras do país regisine uma queixa oficial como vítima. Garantir que nenhum afiliado possa produzir vítimas em seus próprios países é a maneira mais fácil para esses criminosos ficarem fora do radar das agências de aplicação da lei domésticas.

Possivelmente sentindo o calor de ser referenciado na Ordem Executiva do Presidente Biden sobre segurança cibernética na semana passada, o grupo DarkSide procurou se distanciar de seu ataque contra o Colonial Pipeline. Em uma mensagem postada no blog de shaming da vítima, darkside tentou dizer que era “apolítico” e que não queria participar da geopolítica.

“Nosso objetivo é ganhar dinheiro e não criar problemas para a sociedade”, escreveram os criminosos do DarkSide na semana passada. “A partir de hoje, introduzimos moderação e verificamos cada empresa que nossos parceiros querem criptografar para evitar consequências sociais no futuro.”

Mas é o seguinte: gangues de extorsão digital como a DarkSide tomam muito cuidado para tornar suas plataformas inteiras geopolíticas, porque seu malware é projetado para funcionar apenas em certas partes do mundo.

DarkSide, como muitas outras cepas de malware, tem uma lista de países que não instalam com códigos rígidos de países que são os principais membros da Comunidade dos Estados Independentes (CIS) — antigos satélites soviéticos que têm principalmente relações favoráveis com o Kremlin. A lista completa de exclusão no DarkSide (publicado pela Cybereason) está abaixo:

Imagem: Cybereason.

Simplificando, inúmeras cepas de malware verificarão a presença de um desses idiomas no sistema, e se forem detectados, o malware sairá e não será instalado.

[Nota lateral. Muitos especialistas em segurança apontaram conexões entre os grupos de ransomware DarkSide e REvil (também conhecidos como “Sodinokibi”). REvil era anteriormente conhecido como GandCrab, e uma das muitas coisas que GandCrab tinha em comum com o REvil era que ambos os programas impediam as afiliadas de infectar vítimas na Síria. Como podemos ver no gráfico acima, a Síria também está isenta de infecções pelo ransomware DarkSide. E a própria DarkSide provou sua conexão com a REvil na semana passada, quando anunciou que estava fechando a loja depois que seus servidores e fundos de bitcoin foram apreendidos.]

EMPTOR DE RESSALVAS

A instalação de um desses idiomas manterá seu computador Windows a salvo de todos os malwares? Há muitos malwares que não se importam onde no mundo você está. E não há substituto para adotar uma postura de defesa em profundidade, e evitar comportamentos de risco on-line.

Mas há realmente uma desvantagem em tomar essa abordagem simples, livre e profilática? Nenhum que eu possa ver, além de talvez um sentimento de capitulação. O pior que pode acontecer é que você acidentalmente alternou as configurações do idioma e todas as opções do seu menu estão em russo.

Se isso acontecer (e a primeira vez que isso acontecer, a experiência pode ser um pouco chocante) bata na tecla Windows e na barra de espaço ao mesmo tempo; se você tiver mais de um idioma instalado, você verá a capacidade de alternar rapidamente de um para o outro. A caixinha que aparece quando se bate no combo do teclado se parece com isso:

Os cibercriminosos são notoriamente responsivos às defesas que cortam sua rentabilidade, então por que os bandidos não mudariam as coisas e começariam a ignorar a verificação de idiomas? Bem, eles certamente podem e talvez até mesmo farão isso (uma versão recente de DarkSide analisada por Mandiant não executou a verificação do idioma do sistema).

Mas isso aumenta o risco para sua segurança pessoal e fortunas em alguma quantidade não trivial, disse Allison Nixon, diretora de pesquisa da empresa de investigações cibernéticas Unit221B,com sede em Nova York.

Nixon disse que por causa da cultura legal única da Rússia, os hackers criminosos daquele país empregam essas verificações para garantir que eles estão apenas atacando vítimas fora do país.

“Isso é para sua proteção legal”, disse Nixon. “Instalar um teclado cirílico ou alterar uma entrada específica de registro para dizer ‘RU’, e assim por diante, pode ser suficiente para convencer o malware de que você é russo e fora dos limites. Isso pode tecnicamente ser usado como uma ‘vacina’ contra o malware russo.”

Nixon disse que se pessoas suficientes fizerem isso em grande número, pode, a curto prazo, proteger algumas pessoas, mas o mais importante a longo prazo força os hackers russos a fazer uma escolha: arriscar perder proteções legais ou correr o risco de perder renda.

“Essencialmente, os hackers russos acabarão enfrentando a mesma dificuldade que os defensores do Ocidente devem enfrentar – o fato de que é muito difícil dizer a diferença entre uma máquina doméstica e uma máquina estrangeira disfarçada de doméstica”, disse ela.

KrebsOnSecurity perguntou ao colega de Nixon na Unit221B — o fundador Lance James — o que ele achava sobre a eficácia de outra abordagem anti-malware sugerida pelos seguidores do Twitter que participaram da discussão da semana passada: Adicionar entradas no registro do Windows que especificam que o sistema está sendo executado como uma máquina virtual (VM). Em uma tentativa de analisar stymie por antivírus e empresas de segurança, alguns autores de malware tradicionalmente configuraram seu malware para parar de instalar se detectar que está sendo executado em um ambiente virtual.

Mas James disse que essa proibição não é mais tão comum, especialmente porque muitas organizações fizeram a transição para ambientes virtuais para uso diário.

“Ser uma máquina virtual não impede o malware como costumava fazer”, disse James. “Na verdade, muito do ransomware que estamos vendo agora está sendo executado em VMs.”

Mas James diz que adora a ideia de todos adicionarem um idioma da lista de países da CIS tanto que ele produziu seu próprio script em lote windows de duas linhas clicável que adiciona uma referência em língua russa nas chaves específicas de registro do Windows que são verificadas por malware. O script efetivamente permite que o PC Windows pareça que tem um teclado russo instalado sem realmente baixar as bibliotecas de script adicionadas da Microsoft.

Para instalar uma linguagem de teclado diferente em um computador Windows 10 à moda antiga, clique na tecla Do Windows e X ao mesmo tempo e selecione Configurações e selecione “Tempo e Linguagem”. Selecione Idioma e, em seguida, role para baixo e você deve ver uma opção para instalar outro conjunto de caracteres. Escolha um, e o idioma deve ser instalado na próxima vez que você reiniciar. Novamente, se por algum motivo você precisar alternar entre idiomas, o Windows+Spacebar é seu amigo.

FONTE: KREBS ON SECURITY

POSTS RELACIONADOS