Viele Ransomware-Varianten brechen den Angriff ab, wenn eine russische Tastatur installiert ist (2021)

 (krebsonsecurity.com)
9 Punkte von baeba 2025-06-30 | 2 Kommentare | Auf WhatsApp teilen

1. Ein einfacher Sicherheitstrick, den russische Hacker hassen

Die meiste Ransomware ist so konzipiert, dass sie sich auf PCs mit bestimmten virtuellen Tastaturen (Russisch, Ukrainisch usw.) nicht installiert. Auf Basis dieser Tatsache wurde auf Twitter viel darüber gesprochen, dass sich Angriffe vermeiden lassen, wenn man eine entsprechende Tastatur installiert.

2. Osteuropäische Hacker fassen Rechner im eigenen Raum nicht an

Viele russischsprachige Ransomware-Varianten sind so gebaut, dass sie CIS-Staaten (Gemeinschaft Unabhängiger Staaten) meiden, um der Beobachtung durch die eigenen Behörden zu entgehen.

3. Russische Behörden ermitteln nicht, wenn es keine inländischen Opfer gibt

In Russland und anderen Ländern werden Ermittlungen zu Cyberkriminalität oft nicht eingeleitet, wenn es keine Opfer im eigenen Land gibt. Deshalb versuchen Hacker, Schäden im eigenen Land von vornherein zu vermeiden.

4. Die Reaktion von DarkSide

Nach dem Angriff auf Colonial Pipeline behauptete die Gruppe DarkSide, sie verfolge „keine politischen Ziele“, und kündigte an, künftig Zielunternehmen unter Berücksichtigung gesellschaftlicher Auswirkungen auszuwählen.

5. Anders als die Worte vermuten lassen, ist regionales Targeting unverzichtbar

DarkSide verwendet tatsächlich hartkodierte Einstellungen, die eine Installation in CIS-Staaten verhindern. Das ist eine Strategie, um rechtliche Risiken im eigenen Land zu vermeiden.

6. Russische Tastatur installieren = eine Art Impfung?

Viele Malware-Familien beenden ihre Ausführung, wenn sie die betreffende Sprache (z. B. Russisch) erkennen. Früher mied REvil (oder GandCrab) ebenfalls bestimmte Länder wie Syrien.

7. Was sind die Nachteile?

Dieser Trick wirkt nicht gegen jede Malware. Er sollte mit grundlegenden Sicherheitsmaßnahmen kombiniert werden und ist nur ein zusätzliches Schutzmittel.

8. So ändert man die Einstellung

Selbst wenn die Sprache versehentlich auf Russisch umschaltet, lässt sie sich mit der Windows-Taste + Leertaste leicht wieder auf die ursprüngliche Sprache zurückstellen.

9. Malware-Autoren könnten die Sprachprüfung auch ignorieren

Einige neuere Versionen lassen die Sprachprüfung weg. Für Hacker steigt dadurch allerdings das rechtliche Risiko.

10. Spracheinstellungen sind aus Sicht von Hackern ein wichtiger Schutzschild

Aufgrund des rechtlichen Umfelds in Russland ist Malware darauf beschränkt, nur ausländische Systeme anzugreifen; eine Umgehung dieser Grenze erhöht das rechtliche Risiko.

11. Auch per Registry-Manipulation kann es funktionieren

Es wurde auch ein einfaches Skript veröffentlicht, das in der Windows-Registry vortäuscht, die entsprechende Landessprache sei gesetzt, selbst ohne Änderung der Tastatursprache.

12. So fügt man manuell eine Tastatursprache hinzu

Unter Windows-Einstellungen > Zeit und Sprache > Sprache lässt sich die gewünschte Tastatursprache hinzufügen; nach einem Neustart wird sie angewendet.

Verwandte Beiträge

2 Kommentare

 
crawler 2025-06-30

https://de.news.hada.io/topic?id=21726

Das scheint mit diesem Artikel zusammenzuhängen.
 
baeba 2025-06-30

💬 1. Reaktionen auf den Trick

  • Mehrere Kommentatoren fanden die Idee interessant, eine „russische Tastatur“ zu installieren, und einige versuchten tatsächlich, sie zu installieren oder die Registry zu manipulieren.
  • Ein Nutzer installierte 14 Sprachen, äußerte jedoch Bedenken wegen verschwendetem Speicherplatz.
  • Manche sahen darin eine „einfache Verteidigungsmaßnahme, um russische Hacker auszutricksen“.

💬 2. Bedenken und Skepsis

  • Viele meinten, dass dies nur ein vorübergehender Workaround sei und Hacker ihn bald umgehen könnten.
  • Zum Beispiel könnte die Überprüfung, ob die Tastatur tatsächlich verwendet wird oder kürzlich geändert wurde, den Verteidigungstrick aushebeln.
  • Es gab auch Kritik, dass „der Versuch, sich durch Spracheinstellungen zu schützen, Hackern eher noch eine Schwachstelle offenbart“.

💬 3. Alternative Vorschläge und technische Diskussion

  • Einige erwähnten, dass es auch eine Möglichkeit sei, das System so erscheinen zu lassen, als laufe es in einer virtuellen Maschine (VM).
  • Es wurde darauf hingewiesen, dass Malware verschiedene Methoden zur „Lokalisierungsprüfung“ nutzen kann, etwa System-Zeitzone, IP oder die Nutzungshistorie der Tastatur.
  • Manche schlugen vor, Spuren von Security-Tools wie Wireshark zu hinterlassen, damit Malware das System irrtümlich für eine Analyseumgebung hält.

💬 4. Debatte über Betriebssysteme

  • Es gab viel Kritik an den Sicherheitslücken von Windows. Einige plädierten auch für einen Wechsel zu Mac oder Linux.
  • Es wurde auch Unmut darüber geäußert, dass „Windows viele Sicherheitslücken hat und Unternehmen es nur aus Kostengründen weiter verwenden“.
  • Andererseits gab es Gegenstimmen, dass auch Mac nicht völlig sicher sei und nur deshalb seltener angegriffen werde, weil sein Marktanteil geringer sei.

💬 5. Weitere Meinungen

  • Einige berichteten, dass nach der Installation einer russischen Tastatur Probleme beim Login auftraten.
  • Es gab auch skeptische Stimmen, dass Hacker diese Methode am Ende sogar zu ihrem Vorteil nutzen könnten, wenn der Tastatur-Bypass weit verbreitet werde.
  • Abschließend reagierte ein Nutzer bitter mit der Frage, ob nun die Zeit gekommen sei, in der wir Hacker besänftigen müssen, um ihnen aus dem Weg zu gehen.