Muchos ransomware dejan de ejecutarse si hay un teclado en ruso instalado (2021)

 (krebsonsecurity.com)
4 puntos por GN⁺ 2025-06-30 | 1 comentarios | Compartir por WhatsApp
  • La mayoría del ransomware deja de ejecutarse si en el sistema objetivo infectado hay instalado un teclado de idiomas de países de la CEI, como ruso o ucraniano
  • Esta técnica de evasión busca que los grupos criminales no conviertan en víctimas a instituciones o personas de sus propios países y así evitar la atención de las autoridades locales
  • Cambiar solo el idioma del teclado no permite defenderse de todo el malware, y en esencia sigue siendo necesario cumplir diversas prácticas de seguridad
  • Agregar un idioma de teclado es algo fácil y gratuito de hacer, y casi no tiene efectos secundarios
  • Incluso si hackers rusos logran eludirlo, su riesgo legal aumenta, por lo que tiene cierta eficacia como medida defensiva

Efecto de bloquear infecciones de ransomware al instalar teclados ruso/ucraniano

Detección del idioma del teclado y detención de la ejecución del ransomware

  • En debates recientes en Twitter sobre ataques de ransomware, se mencionó que muchísimas familias de ransomware tienen una salvaguarda integrada que detiene su ejecución si en Microsoft Windows hay instalado un teclado virtual en ruso, ucraniano u otros idiomas
  • Este es un método usado sobre todo por malware originado en Europa del Este
  • Por ejemplo, muchos ransomware no infectan el sistema si tienen instalados idiomas de países de la CEI (Comunidad de Estados Independientes)
  • El objetivo principal es que estos grupos criminales eviten investigaciones legales dentro de sus propios países

El caso de Colonial Pipeline y el grupo DarkSide

  • Este tema cobró relevancia durante las discusiones sobre el ataque de ransomware contra Colonial Pipeline
  • Ese ataque fue llevado a cabo por un grupo de ransomware como servicio llamado DarkSide, que apuntaba principalmente a grandes empresas
  • Las organizaciones criminales con base en Rusia han impuesto internamente la prohibición de infectar como objetivos a Ucrania, Rusia y otros países de Europa del Este
  • Esta política busca evitar investigaciones e interferencias por parte de los gobiernos locales

Estructura legal en Rusia y Europa del Este

  • En Rusia, la investigación de delitos cibernéticos solo se inicia oficialmente cuando la víctima es un ciudadano del propio país
  • Por eso, que los propios criminales no dañen sistemas de su país es la forma más segura de actuar
  • De hecho, varios grupos de ransomware, como DarkSide y REvil, han seguido esta política con rigor

Detección de idioma codificada directamente en el código

  • DarkSide y muchos otros malware incluyen los idiomas de países de la CEI en una lista codificada, y no se ejecutan si detectan que alguno de esos idiomas está instalado en el sistema
  • En la práctica, muchísimas muestras de malware revisan el idioma del sistema para decidir si deben ejecutarse o no

Límites del método de evasión y efecto real

  • Instalar un teclado en ruso u otro idioma de la CEI puede tener efecto preventivo contra parte del ransomware
  • Sin embargo, no sirve contra todo el malware, y una estrategia de defensa en capas sigue siendo indispensable
  • Los efectos secundarios de cambiar el idioma tampoco son grandes. Aunque el idioma cambie por error, se puede alternar fácilmente con Windows+Spacebar

Posibles cambios en la estrategia de los atacantes

  • Algunos expertos analizan que los atacantes podrían omitir el procedimiento de verificación del idioma
  • De hecho, en una versión reciente de DarkSide analizada por Mandiant, se omitió la comprobación de idioma
  • Sin embargo, hacerlo aumenta considerablemente el riesgo legal de los criminales

Comentarios de expertos y el “efecto vacuna”

  • Allison Nixon, de Unit221B, explicó que los hackers rusos usan esta verificación de idioma para obtener una especie de protección legal
  • Agregar ese idioma y teclado puede funcionar como una especie de “vacuna contra el malware ruso”
  • Si este método se usara a gran escala, los criminales enfrentarían el dilema de elegir entre protección legal y ganancias
  • A los criminales, igual que a los responsables de seguridad occidentales, les resulta difícil distinguir si un sistema es realmente local

Evasión de la detección de entornos de máquina virtual

  • Algunos usuarios de Twitter también propusieron agregar entradas de registro que indiquen que se trata de una máquina virtual
  • Antes era efectivo, pero hoy muchas organizaciones usan máquinas virtuales de forma cotidiana, por lo que esta técnica ya no se considera confiable

Cómo agregar el idioma fácilmente

  • Lance James, de Unit221B, creó y distribuyó un script batch de Windows de dos líneas que hace que parezca que hay un teclado ruso instalado
  • Este script permite obtener el efecto de evitar la infección sin descargar realmente bibliotecas rusas
  • También se puede agregar fácilmente un idioma de teclado con el método tradicional: “Configuración → Hora e idioma → Agregar un idioma”
  • Si por casualidad los menús aparecen en ruso al cambiar la configuración de idioma, es posible alternar el idioma con la combinación Windows+Spacebar

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-06-30
Comentarios de Hacker News

  • Se comenta que, si haces que tu computadora parezca un sandbox de análisis de malware, gran parte del malware se cierra para evitar ser analizado; se siente como un juego del gato y el ratón

    • Se menciona que hoy en día la mayoría de los servidores Windows corren en entornos virtualizados, así que quizá ya no sea tan efectivo como antes, aunque podrían considerarse otros indicadores
    • Una propuesta en broma: meter la cadena VirtualBox en el firmware
    • Se dice que esto ya se había mencionado en otro post viejo de Hacker News, concretamente en este enlace
    • La broma de que ahora habría que instalar Ghidra en cada workstation
    • Frente a la afirmación de que “si disfrazo mi computadora como un sandbox, mucho malware se cerrará para evitar el análisis”, alguien responde que eso es una preocupación completamente distinta. Subraya que, si está instalado un método de entrada en ruso, el malware se cierra para evitar riesgos legales

  • Opinión de que hay bastante evidencia de que este método (detectar un teclado ruso) realmente funcionó con grupos como el ransomware Patya y grupos como Fancy Bear, Cozy Bear y Conti, en gran parte porque el gobierno ruso garantiza impunidad mientras no apunten contra sus propios ciudadanos
    También se comenta que, si les demuestras a los atacantes que eres ruso o les hablas en ruso, a veces te descifran el sistema gratis

    • Un comentario expresa curiosidad sobre cómo se aplica eso en la era de la traducción con IA, y recuerda casos de desarrolladores rusos de shareware que daban licencias gratis a otros rusos
    • Se enfatiza que los grupos de hackers rusos conocen muy bien la política de “no cagarse dentro de la tienda” (don’t piss inside the tent) y que todos la entienden
    • También se señala que la realidad podría no ser tan simple: hay rusos en todas partes y podrían trabajar incluso en la empresa víctima; si el rescate es de millones de dólares, no te van a soltar solo por decir que eres ruso. Habría que convencerlos de que de verdad es propiedad rusa o aportar algo como “mi papá trabaja en la FSB”

  • Un ruso comparte su experiencia de finales de los 2000 borrando “winlocker” de las computadoras de amigos poco expertos en tecnología. Estos malware no solo cifraban archivos, sino que mostraban ventanas imposibles de cerrar pidiendo dinero, con frases graciosas como “gracias por el widget de acceso rápido a sitios para adultos”

  • Se sugiere que seguramente también existe malware que apunta específicamente a sistemas con teclado cirílico activado, insinuando que el entorno en ruso también es algo que los atacantes revisan

  • Se comparte el consejo de que la mejor forma antimalware en Windows es usar la cuenta principal diaria como una cuenta estándar, no como administrador También habría que crear una cuenta de administrador local aparte y usar otra contraseña; así, cuando haga falta instalar software o ejecutar powershell u otras tareas administrativas, se requerirá autenticación de administrador, y si aparece un popup sospechoso será una señal de que algo anda mal La cuenta estándar puede usar una contraseña normal (aunque no demasiado corta), y la cuenta de administrador una contraseña compleja, por lo que lo recomiendan especialmente para familiares sin muchos conocimientos de IT

    • Se objeta que, incluso sin privilegios de administrador, el malware puede hacer muchas cosas: acceder al sistema de archivos del usuario o conectarse a internet casi sin restricciones, por lo que esta separación de privilegios no evita filtración de datos, ransomware ni destrucción de datos
    • Se explica que eso podía ser cierto desde inicios de los 2000 hasta 2012, pero que después de Vista el malware evolucionó para adaptarse a UAC y funcionar perfectamente con cuentas estándar, así que no tener privilegios de administrador no ayuda realmente a proteger los datos. Se comparte como ejemplo usar una computadora física separada para las tareas más sensibles (principalmente finanzas) o intentar aislar datos separando cuentas de usuario en Windows; también se comenta que gustaría usar un OS fuertemente aislado como Qubes OS, aunque aún no lo han aprendido
    • En resumen, la explicación del usuario equivale a lo mismo que Windows Vista implementa por defecto desde User Account Control (UAC)
    • Se opina que los ataques de ransomware del crimen organizado apuntan sobre todo a empresas más que a civiles, por lo que el ransomware se ve más en entornos corporativos que personales. Usan el ransomware Petya como ejemplo y mencionan escenarios donde, incluso con permisos de usuario normal, se pueden secuestrar sesiones administrativas dentro de la red u obtener privilegios de administrador de dominio; también explican varias formas realistas de borrar o cifrar datos, ocultar malware sin privilegios de administrador, o incluso instalar malware si viene empaquetado con software que el propio usuario puede instalar
    • Junto con un enlace a la historieta xkcd 1200, se plantea que la separación de cuentas sí tiene sentido en computadoras compartidas por varias personas, pero que para la mayoría de los casos de usuario único su efectividad real es limitada; en la práctica, separar privilegios administrativos en una PC personal no ayuda demasiado a evitar hackeos

  • Se preguntan si, después de que Brian Krebs publicara esto en 2021, esta táctica sigue funcionando hoy

    • Se afirma que Rusia y Corea del Norte consideran el ransomware una actividad económica legítima y que seguirá como parte de una estrategia de guerra híbrida
    • También se explica que, en el fondo, es un tema legal y de persecución penal, así que existe una regla tácita de no molestarse mutuamente mientras no se toque al gobierno ruso. Se enfatiza que, comparado con Rusia, Estados Unidos es un mercado muchísimo más rentable para el saqueo. Se comparten estadísticas del FBI según las cuales el fraude de correo empresarial (BEC) causó pérdidas por 2.7 mil millones de dólares solo en 2024, junto con un caso manejado por la persona que comenta, donde un actor de amenaza chino logró entrar a una empresa estadounidense haciéndose pasar por empleado y abusó de descuentos internos para trabajadores, causando pérdidas de 1 millón de dólares
    • Se adjunta el enlace al Informe 2024 sobre crimen en internet del FBI

  • Un comentario breve diciendo que el título por sí solo da risa, con la implicación de que se siente natural asumir que la mayoría del ransomware viene de Rusia

  • La idea de que la presencia de un teclado ruso podría hacerlo más atractivo para malware de la NSA

    • Como dato curioso, Rusia, China y otros países prohíben Windows en agencias gubernamentales y militares sensibles, y usan sus propias distribuciones de Linux

  • Un mensaje corto que solo dice “2021”

    • Se preguntan si Ucrania fue eliminada de la lista de exclusiones, y llaman la atención sobre el hecho de que su distribución de teclado es distinta de la rusa

  • Curiosidad sobre si, además de la distribución del teclado, al cambiar la hora también revisarían la zona horaria y otros datos diversos