Viele Ransomware-Programme beenden ihre Ausführung, wenn eine russische Tastatur installiert ist (2021)

 (krebsonsecurity.com)
4 Punkte von GN⁺ 2025-06-30 | 1 Kommentare | Auf WhatsApp teilen
  • Die meisten Ransomware-Programme beenden ihre Ausführung, wenn auf dem Zielsystem eine Tastatur für Sprachen aus den CIS-Staaten wie Russisch oder Ukrainisch installiert ist
  • Diese Umgehungstechnik dient dazu, dass kriminelle Gruppen keine Institutionen oder Privatpersonen im eigenen Land zu Opfern machen und so die Aufmerksamkeit lokaler Strafverfolgungsbehörden vermeiden
  • Allein durch das Ändern der Tastatursprache lässt sich nicht jede Malware abwehren; grundlegend ist weiterhin die Einhaltung verschiedener Sicherheitsregeln
  • Das Hinzufügen einer Tastatursprache ist einfach und kostenlos umsetzbar und hat kaum Nebenwirkungen
  • Selbst wenn russische Hacker dies umgehen, steigt dadurch ihr rechtliches Risiko, weshalb die Maßnahme in gewissem Maße wirksam ist

Schutzwirkung gegen Ransomware-Infektionen durch Installation einer russischen/ukrainischen Tastatur

Erkennung der Tastatursprache und Abbruch der Ransomware-Ausführung

  • In aktuellen Twitter-Diskussionen über Ransomware-Angriffe wurde erwähnt, dass sehr viele Ransomware-Programme über eine eingebaute Sicherheitsvorkehrung verfügen, die ihre Ausführung stoppt, wenn in Microsoft Windows virtuelle Tastaturen wie Russisch oder Ukrainisch installiert sind
  • Dies ist vor allem eine häufig verwendete Methode von Malware aus Osteuropa
  • So infizieren viele Ransomware-Programme ein System nicht, wenn eine Sprache aus den CIS-Staaten (Gemeinschaft Unabhängiger Staaten) installiert ist
  • Der Hauptzweck besteht darin, dass diese kriminellen Gruppen strafrechtliche Ermittlungen im eigenen Land vermeiden

Der Fall Colonial Pipeline und die Gruppe DarkSide

  • Das Thema rückte während der Diskussion über den Ransomware-Angriff auf Colonial Pipeline in den Vordergrund
  • Der Angriff wurde von der Ransomware-as-a-Service-Gruppe DarkSide durchgeführt, die vor allem Großunternehmen ins Visier nahm
  • In Russland basierte kriminelle Organisationen haben intern verboten, die Ukraine, Russland und andere osteuropäische Staaten als Infektionsziele zu wählen
  • Diese Politik dient dazu, Untersuchungen und Eingriffe lokaler Regierungen zu vermeiden

Rechtliche Strukturen in Russland und Osteuropa

  • In Russland werden Ermittlungen zu Cyberkriminalität offiziell nur eingeleitet, wenn eigene Staatsbürger zu Opfern werden
  • Daher ist es für Kriminelle der sicherste Weg, den eigenen heimischen Systemen keinen Schaden zuzufügen
  • Tatsächlich hielten sich mehrere Ransomware-Gruppen wie DarkSide und REvil strikt an diese Politik

Im Code fest einprogrammierte Spracherkennung

  • DarkSide und viele andere Schadprogramme führen eine fest einprogrammierte Liste von Sprachen aus den CIS-Staaten und werden nicht ausgeführt, wenn eine dieser Sprachen auf dem System installiert ist
  • Tatsächlich prüfen unzählige Malware-Programme die Systemsprache, um über ihre Ausführung zu entscheiden

Grenzen der Umgehungsmethode und tatsächliche Wirkung

  • Die Installation einer russischen oder anderen CIS-Tastatur kann gegen einen Teil der Ransomware eine vorbeugende Wirkung haben
  • Sie schützt jedoch nicht vor sämtlicher Malware, weshalb eine mehrschichtige Verteidigungsstrategie unverzichtbar ist
  • Auch die Nebenwirkungen einer Sprachänderung sind gering. Falls die Sprache versehentlich umgeschaltet wird, kann man mit Windows+Spacebar leicht zurückwechseln

Mögliche Änderungen in der künftigen Angreiferstrategie

  • Einige Experten gehen davon aus, dass Angreifer die Sprachprüfung künftig auch weglassen könnten
  • Tatsächlich wurde in einer kürzlich von Mandiant analysierten DarkSide-Version die Sprachprüfung ausgelassen
  • In diesem Fall würde das rechtliche Risiko für die Täter jedoch erheblich steigen

Expertenkommentar und „Impfwirkung“

  • Allison Nixon von Unit221B erklärte, dass russische Hacker diese Sprachprüfung nutzen, um rechtlichen Schutz zu erhalten
  • Das Hinzufügen der betreffenden Sprache und Tastatur kann eine Art „Impfstoff gegen russische Malware“ sein
  • Wenn diese Methode in großem Maßstab eingesetzt wird, geraten die Täter in ein Dilemma zwischen rechtlichem Schutz und Gewinn
  • Für Kriminelle wird es ebenso wie für westliche Sicherheitsverantwortliche schwierig, zu unterscheiden, ob ein System tatsächlich lokal ist

Umgehung der Erkennung von virtuellen Maschinen

  • Einige Twitter-Nutzer schlugen außerdem vor, Registry-Einträge hinzuzufügen, die ausdrücklich auf eine virtuelle Maschine hinweisen
  • Früher war das wirksam, doch da heute viele Organisationen routinemäßig virtuelle Maschinen einsetzen, gilt diese Technik nicht mehr als zuverlässig

So lässt sich die Sprache leicht hinzufügen

  • Lance James von Unit221B erstellte und veröffentlichte ein zweizeiliges Windows-Batch-Skript, das den Eindruck erweckt, eine russische Tastatur sei installiert
  • Mit diesem Skript lässt sich der Schutzeffekt gegen Infektionen erzielen, ohne tatsächlich russische Bibliotheken herunterzuladen
  • Auch auf herkömmlichem Weg kann man über „Einstellungen → Zeit und Sprache → Sprache hinzufügen“ die Tastatursprache einfach ergänzen
  • Falls nach dem Ändern der Sprache Menüs auf Russisch erscheinen, kann man mit der Tastenkombination Windows+Spacebar die Sprache wechseln

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-06-30
Hacker-News-Kommentare

  • Es geht um die Idee, dass sich ein Großteil von Malware beendet, um Analyse zu vermeiden, wenn man den eigenen Computer wie eine Malware-Analyse-Sandbox aussehen lässt; das wirkt wie ein Katz-und-Maus-Spiel

    • Der Gedanke, dass das heute möglicherweise nicht mehr so wirksam ist wie früher, weil moderne Windows-Server meist in virtualisierten Umgebungen laufen, man aber trotzdem noch andere Indikatoren berücksichtigen könnte
    • Der scherzhafte Vorschlag, einen VirtualBox-String in die Firmware einzubauen
    • Der Hinweis, dass das schon in einem früheren Hacker-News-Beitrag erwähnt wurde, nämlich hier
    • Der Witz, man müsse jetzt wohl auf jeder Workstation Ghidra installieren
    • Auf die Behauptung „Wenn ich meinen Computer als Sandbox tarne, beendet sich viel Malware, um Analyse zu vermeiden“ folgt der Einwand, dass das eine ganz andere Sorge sei. Wenn ein russisches Eingabeschema installiert ist, beendet sich Malware, um rechtliche Risiken zu vermeiden

  • Die Meinung, dass diese Methode, also das Erkennen einer russischen Tastatur, bei Gruppen wie Patya, Fancy Bear, Cozy Bear oder Conti tatsächlich oft wirksam gewesen sei, vor allem weil die russische Regierung Straffreiheit garantiere, solange keine eigenen Bürger angegriffen werden
    Außerdem die Aussage, dass Angreifer Systeme manchmal sogar kostenlos entschlüsseln, wenn man ihnen klarmacht, dass man Russe ist oder Russisch mit ihnen spricht

    • Ein Kommentar dazu, wie sich „kostenlose Entschlüsselung, wenn man sich als Russe zu erkennen gibt“ im Zeitalter von KI-Übersetzung auswirkt; dazu die Erinnerung an frühere russische Shareware-Entwickler, die Russen kostenlose Lizenzen gaben
    • Die Betonung, dass russische Hackergruppen die Politik „don’t piss inside the tent“ sehr gut kennen und dass jeder sie versteht
    • Der Hinweis, dass die Realität vielleicht nicht so einfach ist: Russen sind überall und könnten auch in betroffenen Unternehmen arbeiten; bei Lösegeldforderungen in Millionenhöhe werde man kaum allein deshalb freigelassen, weil man Russe ist. Wahrscheinlich brauche es Belege für echten russischen Besitz oder Aussagen wie „Mein Vater arbeitet beim FSB“

  • Eine aus eigener Erfahrung geschilderte Erinnerung eines Russen, der Ende der 2000er auf den Computern technisch wenig versierter Freunde „winlocker“ entfernte: Diese Malware verschlüsselte nicht einfach Dateien, sondern zeigte ein nicht schließbares Fenster an und verlangte Geld; darin standen auch absurde Zeilen wie „Danke für das Quick-Access-Widget für Erwachsenen-Websites“

  • Die Vermutung, dass es selbstverständlich auch Malware gibt, die gezielt Systeme mit aktivierter kyrillischer Tastatur angreift, was andeutet, dass eine russischsprachige Umgebung ebenfalls ein Prüfkriterium für Angreifer ist

  • Ein Tipp, dass die beste Anti-Malware-Methode unter Windows darin bestehe, das alltäglich genutzte Hauptkonto als normales Benutzerkonto statt mit Administratorrechten zu führen Zusätzlich solle man ein separates lokales Administratorkonto mit anderem Passwort anlegen; für Verwaltungsaufgaben wie Software-Installation oder das Ausführen von PowerShell sei dann eine gesonderte Administratorbestätigung nötig, sodass verdächtige Pop-ups ein Warnsignal seien Für das normale Konto könne man ein gewöhnliches, aber nicht zu kurzes Passwort verwenden und für das Administratorkonto ein komplexes; besonders für Familienmitglieder ohne viel IT-Wissen werde das empfohlen

    • Der Einwand, dass Malware auch ohne Administratorrechte sehr viel tun kann und kaum daran gehindert wird, auf die Dateien des Benutzers zuzugreifen oder ins Internet zu gehen; diese Trennung verhindere daher weder Datenabfluss noch Ransomware noch Datenzerstörung
    • Die Erklärung, dass das vielleicht von den frühen 2000ern bis 2012 gegolten habe, Malware sich seit Vista aber an UAC angepasst habe und auch mit normalen Benutzerrechten gut arbeiten könne; fehlende Administratorrechte helfen daher nicht beim Schutz von Daten. Als Beispiel wird genannt, besonders sensible Tätigkeiten, vor allem Finanzangelegenheiten, auf einem separaten physischen Rechner zu erledigen oder unter Windows mittels Kontentrennung Datenisolation zu versuchen; außerdem die persönliche Anmerkung, dass man gern ein stark isolierendes OS wie Qubes OS nutzen würde, es aber noch nicht gelernt habe
    • Die Zusammenfassung, dass die Beschreibung des Nutzers im Grunde genau dem entspricht, was User Account Control (UAC) seit Windows Vista standardmäßig tut
    • Die Ansicht, dass organisierte kriminelle Ransomware-Angriffe meist eher Unternehmen als Privatpersonen treffen und man Ransomware daher häufiger in Unternehmensumgebungen als privat begegnet. Mit Petya als Beispiel wird ein Szenario erwähnt, in dem schon normale Benutzerrechte ausreichen, um im internen Netzwerk Administratorsitzungen zu kapern oder Domain-Admin-Rechte zu erlangen; auch ohne Administratorrechte könne man Daten löschen oder verschlüsseln oder Malware verbergen, und in Software gebündelte Malware könne der Nutzer selbst installieren
    • Mit Verweis auf den Comic xkcd 1200 der Punkt, dass Kontentrennung auf gemeinsam genutzten Rechnern sinnvoll ist, ihre Wirksamkeit bei meist einzeln genutzten Systemen aber begrenzt bleibt; praktisch helfe die Trennung von Administratorrechten auf dem privaten PC nicht besonders stark gegen Hacking

  • Die Frage, ob diese Methode nach der Veröffentlichung durch Brian Krebs im Jahr 2021 immer noch funktioniert

    • Die Behauptung, Russland und Nordkorea betrachteten Ransomware als legitime wirtschaftliche Aktivität und würden sie als Teil ihrer hybriden Kriegsführung fortsetzen
    • Die Erklärung, dass es im Kern ein rechtliches und strafverfolgungsbezogenes Problem ist und die Regel gelte, dass man sich gegenseitig in Ruhe lässt, solange man die russische Regierung nicht berührt; außerdem die Betonung, dass die USA ein viel lukrativeres Ziel für Plünderung seien als Russland. Dazu werden FBI-Zahlen genannt, wonach Business Email Compromise (BEC) in den USA allein 2024 Schäden von 2,7 Milliarden Dollar verursacht habe, sowie ein eigener Fall, in dem ein chinesischer Bedrohungsakteur sich in einer US-Firma als Mitarbeiter einschleuste und interne Mitarbeiterrabatte im Wert von Zehntausenden Dollar missbrauchte, was zu einem Schaden von 1 Million Dollar führte
    • Ergänzt um den Link zum FBI Internet Crime Report 2024

  • Eine knappe Bemerkung, dass schon der Titel an sich komisch sei, mit dem Unterton, dass sich die Annahme, die meiste Ransomware stamme aus Russland, ganz natürlich anfühle

  • Der Gedanke, dass das Vorhandensein einer russischen Tastatur NSA-Malware eher noch attraktiver machen könnte

    • Die Randnotiz, dass Russland, China und andere Länder Windows in sensiblen Regierungs- und Militäreinrichtungen verbieten und stattdessen eigene Linux-Distributionen verwenden

  • Eine kurze Nachricht, die nur aus „2021“ besteht

    • Die Frage, ob die Ukraine von der Ausnahmeliste entfernt wurde, verbunden mit dem Hinweis, dass ihr Tastaturlayout sich vom russischen unterscheidet

  • Die Frage, ob nicht außer dem Tastaturlayout auch bei Zeitänderungen die Zeitzone und diverse andere Informationen geprüft werden