Muchos ransomware dejan de ejecutarse si hay un teclado ruso instalado (2021)
(krebsonsecurity.com)- Muchas variantes de ransomware tienen una salvaguarda que detiene la instalación si en Windows está instalado un teclado ruso o ucraniano, una condición de evasión muy común en malware originado en Europa del Este
- Los ransomware como servicio como DarkSide establecen regiones donde no se permite infectar, para evitar generar víctimas en Rusia, Ucrania y otros países de Europa del Este, y así eludir la atención de las autoridades locales
- Tras el ataque a Colonial Pipeline, DarkSide afirmó ser “apolítico”, pero las condiciones regionales de funcionamiento del malware reflejan por sí mismas restricciones geopolíticas
- Agregar un teclado ruso o valores relacionados en el registro puede servir como medida preventiva gratuita contra cierto malware de origen ruso, pero no reemplaza la defensa en profundidad ni los hábitos de uso seguro
- Aunque los atacantes pueden eliminar la comprobación de idioma, Allison Nixon, de Unit221B, considera que en ese caso los hackers rusos tendrían que elegir entre perder protección legal y perder ingresos
Idiomas y regiones que evita el ransomware
- Muchas variantes de ransomware comprueban si en sistemas Microsoft Windows hay instalados determinados teclados virtuales y, si detectan idiomas como ruso o ucraniano, detienen la instalación
- Los operadores de malware incorporan estas salvaguardas para evitar que haya víctimas dentro de su propia región
- La región de la Comunidad de Estados Independientes (CEI) coincide en gran medida con la lista de exclusión de infecciones de mucho malware surgido en Europa del Este
- DarkSide también tiene una lista codificada de países donde se prohíbe la instalación, correspondiente a los principales miembros de la CEI, y Cybereason hizo pública esa lista
El caso de Colonial Pipeline y DarkSide
- Esta discusión está vinculada con el ataque de ransomware a Colonial Pipeline
- Ese ataque detuvo durante casi una semana un oleoducto de combustible de 5.500 millas a principios de este mes
- Provocó escasez de suministro y alzas de precios en gasolineras de todo Estados Unidos
- El FBI señaló a DarkSide como responsable del ataque
- DarkSide es una operación relativamente nueva de tipo ransomware-as-a-service que dice apuntar solo a grandes empresas
- DarkSide y otros programas de afiliados de habla rusa llevan mucho tiempo impidiendo que se instale malware en computadoras de varios países de Europa del Este, incluidos Rusia y Ucrania
Por qué se usa la evasión regional
- Se sabe que en Rusia, si una empresa o persona local no presenta una denuncia formal como víctima, por lo general las autoridades no inician investigaciones de ciberdelitos contra sus propios ciudadanos
- Para los criminales, evitar que haya víctimas en su propio país es la forma más sencilla de mantenerse fuera del radar de las autoridades locales
- DarkSide intentó distanciarse del ataque a Colonial Pipeline después de ser mencionado en la orden ejecutiva de ciberseguridad del presidente Biden
- En su blog público de víctimas declaró que eran “apolíticos”
- Afirmó que su objetivo es ganar dinero, no generar problemas a la sociedad
- Dijo que en adelante revisaría las empresas que sus socios quisieran cifrar para evitar consecuencias sociales
- Sin embargo, las organizaciones de extorsión digital como DarkSide diseñan su malware para funcionar solo en ciertas regiones, por lo que la propia plataforma refleja condiciones políticas regionales
REvil, GandCrab y las listas de exclusión de infecciones
- Expertos en seguridad han señalado vínculos entre DarkSide y REvil, también conocido como Sodinokibi
- REvil era conocido anteriormente como GandCrab, y tanto GandCrab como REvil prohibían a sus afiliados infectar a víctimas sirias
- La lista de exclusión de DarkSide también incluye a Siria
- Más tarde, DarkSide anunció el cierre de sus operaciones tras afirmar que sus servidores y fondos en bitcoin habían sido incautados, y en ese proceso se reveló su conexión con REvil
Límites de instalar un teclado ruso
- Instalar idiomas como ruso no hace que una computadora con Windows quede protegida contra todo el malware
- Hay mucho malware al que no le importa la ubicación ni el idioma
- Este método no reemplaza la defensa en profundidad ni el hábito de evitar conductas riesgosas en línea
- La desventaja no es grande, pero podrías cambiar por error la configuración de idioma y ver los menús en ruso
- En ese caso, puedes cambiar rápidamente entre los idiomas instalados presionando al mismo tiempo la tecla Windows y la barra espaciadora
¿Pueden los atacantes cambiar la comprobación de idioma?
- Los atacantes reaccionan con sensibilidad ante defensas que reducen su rentabilidad, y pueden modificar el malware para que ignore la comprobación de idioma
- De hecho, una versión reciente de DarkSide analizada por Mandiant no realizaba comprobación del idioma del sistema
- Allison Nixon, de Unit221B, considera que eliminar la comprobación de idioma aumenta de forma no despreciable los riesgos para la seguridad personal y los bienes de los atacantes
- Según Nixon, los hackers rusos usan estas comprobaciones para atacar solo a víctimas fuera de su país debido a la singular cultura legal de Rusia
- Con solo instalar un teclado en alfabeto cirílico o cambiar determinadas entradas del registro a
RU, cierto malware puede considerar al usuario como ruso y excluirlo de sus objetivos
La presión que podría generar una adopción masiva
- Nixon considera que, si muchas personas usan este método, podría proteger a algunos usuarios en el corto plazo
- A largo plazo, los hackers rusos tendrían que asumir uno de dos riesgos: perder protección legal o perder ingresos
- A los hackers rusos también se les haría más difícil distinguir entre computadoras realmente nacionales y computadoras extranjeras que se hacen pasar por nacionales, un problema parecido al que enfrentan los defensores occidentales
Evasión de detección de VM y método con el registro
- Algunos lectores también sugirieron agregar al registro de Windows entradas que parezcan propias de una máquina virtual (VM)
- Lance James, de Unit221B, considera que la condición de VM ya no frena el malware tanto como antes
- Esto se debe a que muchas organizaciones usan entornos virtuales en su trabajo cotidiano
- Gran parte del ransomware observado actualmente también se ejecuta en VM
- James apoya la idea de agregar idiomas de la lista de países de la CEI y creó un script batch de dos líneas que hace que una PC con Windows parezca tener instalado un teclado ruso
- Este script agrega referencias al ruso en claves específicas del registro de Windows que revisa el malware, sin descargar bibliotecas de scripts adicionales de Microsoft
Cómo agregar un idioma en Windows 10
- Para instalar manualmente otro idioma de teclado en Windows 10, presiona la tecla Windows y X, y luego selecciona Settings
- Después selecciona “Time and Language” y, en el menú Language, elige la opción para instalar otro conjunto de caracteres
- El idioma se instalará en el siguiente reinicio
- Cuando necesites cambiar de idioma, usa la combinación Windows+Spacebar
1 comentarios
Comentarios de Hacker News
Si haces que una máquina parezca una sandbox de ejecución de malware, mucho malware se cierra para evitar ser analizado
Al final, esto es parte del juego del gato y el ratón
El malware para Windows se ha vuelto bastante sofisticado en los últimos 30 años
Aunque se pueden observar otros indicadores
Hay evidencia de que esto funcionó con ransomware como Petya o con grupos como Fancy Bear, Cozy Bear y Conti
En general, porque el gobierno ruso garantiza extraoficialmente impunidad si el objetivo no está en Rusia
Además, si dices que eres ruso o escribes en ruso por chat o correo, a veces incluso te descifran el sistema gratis
No es exactamente lo mismo, pero recuerdo que había desarrolladores rusos de shareware que daban licencias gratis a rusos
Hay rusos en todas partes y podrían estar trabajando en la empresa afectada, así que si el rescate es de cientos de miles o millones de dólares, decir solo que eres ruso no bastará
Probablemente tendrías que convencerlos de algo como que la empresa es de propiedad rusa, o que tu padre trabaja en la FSB
La política de no orinar dentro de la tienda es algo que casi todos los grupos rusos entienden bien
Los extranjeros no generan ese tipo de problema
No creo que exista una impunidad especial
Aunque los extranjeros a veces también pueden causar problemas
Recientemente, varios expertos cibernéticos fueron condenados después de una investigación iniciada por una denuncia de Joe Biden
Como ruso que a finales de los 2000 quitó mucho winlocker de las computadoras de compañeros de escuela que no sabían mucho de tecnología, me cuesta estar de acuerdo :D
Aunque esas variantes probablemente eran menos sofisticadas
No cifraban archivos; mostraban una ventana imposible de cerrar y exigían pago
A veces hasta tenían frases graciosas como “gracias por instalar el widget de acceso rápido a sitios para adultos”
Me sorprendería más que no existiera malware que apunte específicamente a sistemas con el teclado cirílico activado
Por favor no ataquen a los búlgaros :)
En cualquier versión de Windows, la mejor defensa contra el malware era hacer que la cuenta principal de uso diario fuera una cuenta sin privilegios de administrador
También deberías crear una cuenta de administrador completa aparte, que incluso puede ser local
Las contraseñas definitivamente deben ser distintas
Cada vez que necesites instalar algo o ejecutar PowerShell/CMD con privilegios de administrador, aparecerá una ventana emergente que te pedirá el inicio de sesión separado de la cuenta de administrador
Eso es básicamente igual al enfoque de
sudoen Linux, y también es la forma en que un departamento de TI profesional opera WindowsSi aparece una ventana de elevación a administrador sin que tú la hayas provocado, sabes que algo anda mal, y la mayoría del malware no logra instalarse
Además, para la cuenta normal puedes usar una contraseña relativamente común pero no demasiado corta, y para el inicio de sesión de administrador una mucho más compleja
Esto es especialmente útil para personas como la de una “PC de abuelita”, donde el riesgo de hacer clic donde no se debe es alto
Aunque se ejecute como usuario sin privilegios, puede hacer lo que quiera con cualquier parte del sistema de archivos a la que ese usuario tenga acceso, y en la mayoría de las configuraciones comunes también puede conectarse a internet sin restricciones
O sea, esta separación de privilegios no evita la exfiltración de datos, el ransomware dirigido a archivos importantes del usuario ni la simple destrucción
Después de Vista, el malware se adaptó al UAC, y ahora todo malware funciona bien incluso con privilegios de usuario normal
Los datos a los que un usuario normal puede acceder, ya sea en local o en un servidor CIFS remoto, se convierten en objetivo del ransomware
Restringir privilegios de administrador no evita que el malware acceda a los datos
La persistencia también se movió a métodos por usuario y sin privilegios de administrador
Todo tipo de Chromium personalizado y semimalicioso que los usuarios instalan cuando buscan saltarse al departamento de TI para conseguir software también funciona así
Aun así, sigo creyendo que a los usuarios cotidianos de Windows no se les debe dar privilegios de administrador
Solo que eso no ayuda mucho contra el malware
Para las actividades más sensibles, sobre todo banca, uso equipos físicamente separados, pero tener un inicio de sesión de Windows separado y sin privilegios de administrador, y segmentar el acceso a datos que no deben quedar atrapados por ransomware, puede lograr casi el mismo efecto
El aislamiento entre distintas cuentas de usuario en Windows en realidad es bastante decente, así que basta con limitar los datos a los que todas las cuentas puedan acceder en común
Personalmente me gustaría usar Qubes y dejar de usar máquinas físicamente separadas, pero no he podido dedicar tiempo a aprender sus peculiaridades
Corrección: debí decir “Chromium personalizado y semimalicioso”, no Chrome
Las empresas suelen pagar mucho más por recuperar sus datos, y el ransomware Petya es un buen ejemplo
Aun así, si un intruso obtiene privilegios de usuario normal en alguna máquina, puede buscar activamente cuentas de administrador y robar sesiones en esa máquina y en la red
El objetivo final es obtener privilegios de Domain Admin
Aparte de eso, para borrar o cifrar datos, o para ejecutar y ocultar software, no siempre se necesitan privilegios de administrador
Además del robo de sesiones, hay muchas formas de obtener privilegios de administrador: software sin parches, permisos de usuario inapropiados, zero-days, ingeniería social, etc.
También es común meter malware o ransomware junto con software útil que el usuario quiere instalar
Sobre “¿hay alguna desventaja en tomar esta medida preventiva simple y gratuita?”, la desventaja obvia que se me ocurre es el aumento de los costos de soporte cuando los usuarios cambian el teclado por error
Normalmente no es difícil presionar por accidente el atajo para cambiar de teclado, y especialmente la mayoría de los usuarios en EE. UU. no sabrán bien qué hicieron ni cómo revertirlo
Me pregunto si esto todavía funciona en la práctica, incluso después de que Brian Krebs lo hiciera público al mundo en 2021
Rusia y Corea del Norte ven el ransomware como una actividad económica legítima
Es parte de una estrategia de guerra híbrida
Esto se basa sobre todo en una decisión legal y de aplicación de la ley
Si evitas a las autoridades rusas, ellas también te evitan
Además, Rusia no es un terreno de objetivos tan fértil como EE. UU.
En EE. UU. hay muchos empleados administrativos junior mal pagados que actualizan con gusto la información de pago de AP al caer en un Business Email Compromise (BEC)
En 2024, las pérdidas por BEC fueron de 2.77 mil millones de dólares, la categoría más rentable, y las pérdidas totales en EE. UU. fueron de 16 mil millones de dólares en 859,532 denuncias
En una investigación en la que participé, un actor de amenazas chino logró mediante ingeniería social que se crearan cuentas de empleados en una empresa estadounidense
Fue tan convincente que incluso logró insertar sus propias cuentas como si fueran administradores en el proceso de aprobación del flujo de identidad al crear nuevas cuentas de empleados en cierta sucursal
El objetivo era solo desviar los beneficios de descuento ofrecidos a los empleados, revenderlos y causar pérdidas de alrededor de 1 millón de dólares a lo largo de varios años
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
Me intriga cómo se puede estimar con cierto grado de confianza el origen de un ciberataque
A veces dicen cosas como “sabemos que son rusos porque las técnicas usadas son conocidas de grupos rusos”, pero si esas técnicas apuntan tan claramente a un grupo o país específico, ¿no sería más fácil imitarlas para hacer parecer que fueron ellos?
Si un buque de guerra con bandera rusa disparara contra un barco estadounidense y escapara sin ser atrapado, parecería tonto decir “es 100% Rusia” solo por la bandera
Literalmente podría ser una operación de falsa bandera, y hoy en día también hay motivaciones políticas muy fuertes para hacer algo así
Si tienes un teclado ruso, te vuelves un objetivo atractivo para el malware de la NSA
Usan sus propias distribuciones de Linux
Incluso siendo alguien que usa teclado ruso, antes de aprender los fundamentos de ciberseguridad me infecté bastantes veces con virus
Me pregunto qué tan extendido funciona realmente esto en general, o si el artículo lo exagera
La propagación típica de virus comunes mezclados en archivos rar es suficientemente genérica
En cambio, si se trata de una organización que opera en países de la CIS, es lógico que verifique con cuidado para no convertirse en objetivo de las agencias de seguridad internas
Por ejemplo, si armas una botnet y la arriendas, otro grupo podría usarla para causar daños realmente grandes, así que simplemente alojarla en el extranjero es más seguro