Viele Ransomware-Varianten brechen die Ausführung ab, wenn eine russische Tastatur installiert ist (2021)
(krebsonsecurity.com)- Viele Ransomware-Varianten haben eine Sicherheitsvorkehrung, die die Installation abbricht, wenn unter Windows eine russische oder ukrainische Tastatur installiert ist; eine solche Ausweichbedingung ist bei Malware aus Osteuropa weit verbreitet
- Ransomware-as-a-Service-Angebote wie DarkSide definieren Regionen, in denen keine Infektionen erfolgen sollen, um keine Opfer in Russland, der Ukraine und anderen osteuropäischen Ländern zu erzeugen und so die Aufmerksamkeit lokaler Ermittlungsbehörden zu vermeiden
- Nach dem Angriff auf Colonial Pipeline behauptete DarkSide, „unpolitisch“ zu sein, doch die regionalen Ausführungsbedingungen der Malware selbst spiegeln geopolitische Beschränkungen wider
- Das Hinzufügen einer russischen Tastatur oder entsprechender Registry-Werte kann eine kostenlose Vorbeugungsmaßnahme gegen manche russischsprachige Malware sein, ersetzt aber weder Defense in Depth noch sichere Nutzungsgewohnheiten
- Angreifer können die Sprachprüfung entfernen, doch Allison Nixon von Unit221B meint, dass russische Hacker dann zwischen dem Verlust rechtlichen Schutzes und Einnahmeverlusten wählen müssten
Sprachen und Regionen, die Ransomware meidet
- Viele Ransomware-Varianten prüfen, ob auf Microsoft-Windows-Systemen bestimmte virtuelle Tastaturen installiert sind, und stoppen die Installation, wenn Sprachen wie Russisch oder Ukrainisch erkannt werden
- Malware-Betreiber bauen solche Fail-Safes ein, damit es in ihrer eigenen Region keine Opfer gibt
- Die Gemeinschaft Unabhängiger Staaten (GUS) überschneidet sich weitgehend mit den Ausschlusslisten für Infektionen vieler aus Osteuropa stammender Malware-Familien
- Auch DarkSide enthält eine hartcodierte Liste von Ländern, in denen die Installation verboten ist und die wichtigen GUS-Mitgliedstaaten entsprechen; Cybereason hat diese Liste veröffentlicht
Colonial Pipeline und der Fall DarkSide
- Diese Diskussion steht im Zusammenhang mit dem Ransomware-Angriff auf Colonial Pipeline
- Der Angriff legte Anfang des Monats eine 5.500 Meilen lange Treibstoffpipeline fast eine Woche lang lahm
- Er führte in den gesamten USA zu Engpässen an Tankstellen und zu steigenden Preisen
- Das FBI erklärte, dass DarkSide hinter dem Angriff steckte
- DarkSide ist ein vergleichsweise neuer Betreiber im Modell Ransomware-as-a-Service, der nach eigenen Angaben nur große Unternehmen ins Visier nimmt
- DarkSide und andere russischsprachige Affiliate-Programme haben seit Langem verhindert, dass ihre Partner Malware auf Computern in mehreren osteuropäischen Ländern installieren, darunter Russland und die Ukraine
Warum regionale Ausweichmechanismen genutzt werden
- In Russland gilt es als üblich, dass Behörden keine Ermittlungen wegen Cyberkriminalität gegen eigene Staatsbürger aufnehmen, wenn inländische Unternehmen oder Privatpersonen nicht offiziell Anzeige als Opfer erstatten
- Für Kriminelle ist es der einfachste Weg, unter dem Radar der inländischen Ermittlungsbehörden zu bleiben, wenn sie dafür sorgen, dass es im eigenen Land keine Opfer gibt
- DarkSide versuchte, sich nach der Erwähnung in der Cybersicherheits-Executive-Order von Präsident Biden vom Angriff auf Colonial Pipeline zu distanzieren
- In seinem Blog zur Veröffentlichung von Opfern erklärte die Gruppe, sie sei „unpolitisch“
- Sie behauptete, ihr Ziel sei es, Geld zu verdienen, nicht der Gesellschaft Probleme zu bereiten
- Außerdem kündigte sie an, künftig zu prüfen, welche Unternehmen ihre Partner verschlüsseln wollen, um gesellschaftliche Folgen zu vermeiden
- Doch digitale Erpressungsgruppen wie DarkSide entwerfen ihre Malware so, dass sie nur in bestimmten Regionen funktioniert; damit spiegelt die Plattform selbst regionalpolitische Bedingungen wider
REvil, GandCrab und Ausschlusslisten für Infektionen
- Sicherheitsexperten haben auf Verbindungen zwischen DarkSide und REvil, auch Sodinokibi genannt, hingewiesen
- REvil war zuvor als GandCrab bekannt, und sowohl GandCrab als auch REvil untersagten ihren Affiliates, syrische Opfer zu infizieren
- Auch die Ausschlussliste von DarkSide enthält Syrien
- DarkSide gab später bekannt, dass Server und Bitcoin-Gelder beschlagnahmt worden seien, kündigte die Einstellung des Betriebs an, und dabei wurde die Verbindung zu REvil sichtbar
Grenzen der Installation einer russischen Tastatur
- Die Installation einer Sprache wie Russisch macht einen Windows-Rechner nicht vor jeder Malware sicher
- Es gibt viele Malware-Varianten, denen Standort oder Sprache egal sind
- Diese Methode ersetzt weder Defense in Depth noch die Gewohnheit, riskantes Verhalten im Netz zu vermeiden
- Die Nachteile sind nicht groß, allerdings kann man versehentlich die Spracheinstellung wechseln, sodass Menüs auf Russisch erscheinen
- In diesem Fall kann man mit Windows-Taste und Leertaste schnell zwischen den installierten Sprachen wechseln
Können Angreifer die Sprachprüfung ändern?
- Angreifer reagieren empfindlich auf Schutzmaßnahmen, die ihre Profitabilität verringern, und können ihre Malware so ändern, dass sie Sprachprüfungen ignoriert
- Tatsächlich führte eine aktuelle von Mandiant analysierte DarkSide-Version keine Systemsprachprüfung durch
- Allison Nixon von Unit221B meint, dass das Entfernen der Sprachprüfung die Risiken für die persönliche Sicherheit und das Vermögen der Angreifer spürbar erhöht
- Laut Nixon nutzen russische Hacker solche Prüfungen wegen der besonderen Rechtskultur Russlands, damit sie nur Opfer außerhalb des eigenen Landes angreifen
- Schon die Installation einer kyrillischen Tastatur oder das Ändern bestimmter Registry-Einträge auf
RUkann dazu führen, dass manche Malware den Nutzer für russisch hält und ihn von der Zielliste ausschließt
Druck durch breite Anwendung
- Nixon meint, dass diese Methode kurzfristig einige Nutzer schützen kann, wenn viele Menschen sie einsetzen
- Langfristig müssten russische Hacker dann entweder das Risiko eingehen, ihren rechtlichen Schutz zu verlieren, oder Einnahmeverluste hinnehmen
- Auch für russische Hacker würde es, ähnlich wie für westliche Verteidiger, schwieriger, echte inländische Computer von ausländischen Computern zu unterscheiden, die sich als inländische ausgeben
Umgehung von VM-Erkennung und Registry-Methode
- Einige Leser schlugen auch vor, der Windows-Registry Einträge hinzuzufügen, die wie eine virtuelle Maschine (VM) aussehen
- Lance James von Unit221B meint, dass die VM-Erkennung Malware nicht mehr so stark aufhält wie früher
- Denn viele Organisationen nutzen inzwischen virtuelle Umgebungen im Arbeitsalltag
- Viele der derzeit beobachteten Ransomware-Familien laufen auch in VMs
- James unterstützt die Idee, Sprachen aus der Liste der GUS-Länder hinzuzufügen, und erstellte ein zweizeiliges Batch-Skript, das einen Windows-PC so erscheinen lässt, als sei eine russische Tastatur installiert
- Das Skript fügt bestimmten Windows-Registry-Schlüsseln, die von Malware geprüft werden, russische Verweise hinzu, ohne zusätzliche Skriptbibliotheken von Microsoft herunterzuladen
So fügt man unter Windows 10 eine Sprache hinzu
- Wer unter Windows 10 direkt eine andere Tastatursprache installieren möchte, drückt die Windows-Taste und X und wählt anschließend Settings
- Danach „Time and Language“ auswählen und im Language-Menü die Option zum Installieren eines anderen Zeichensatzes wählen
- Die Sprache wird beim nächsten Neustart installiert
- Zum Wechseln der Sprache verwendet man die Tastenkombination Windows+Spacebar
1 Kommentare
Hacker-News-Kommentare
Wenn man eine Maschine wie eine Sandbox zur Malware-Ausführung aussehen lässt, beendet sich viele Malware, um Analyse zu vermeiden.
So etwas ist letztlich Teil des Katz-und-Maus-Spiels.
Windows-Malware ist in den letzten 30 Jahren ziemlich ausgefeilt geworden.
Allerdings könnte man andere Indikatoren prüfen.
Es gibt Belege dafür, dass das bei Ransomware wie Petya oder Gruppen wie Fancy Bear, Cozy Bear und Conti funktioniert hat.
Im Allgemeinen liegt das daran, dass die russische Regierung inoffiziell Straffreiheit garantiert, solange das Ziel nicht Russland ist.
Außerdem entschlüsseln sie einem manchmal das System kostenlos, wenn man sich als Russe zu erkennen gibt oder in Chats bzw. E-Mails auf Russisch schreibt.
Nicht ganz dasselbe, aber ich erinnere mich an einen russischen Shareware-Entwickler, der Russen kostenlose Lizenzen gab.
Russen gibt es überall, und sie könnten auch bei der geschädigten Firma arbeiten; wenn das Lösegeld bei mehreren Millionen Dollar liegt, wird „ich bin Russe“ allein nicht reichen.
Man müsste sie wohl davon überzeugen, dass das Unternehmen in russischem Besitz ist oder dass der Vater beim FSB arbeitet oder so etwas.
Die Politik, nicht ins eigene Zelt zu pinkeln, verstehen nahezu alle russischen Gruppen sehr gut.
Ausländer verursachen in dieser Hinsicht keine Probleme.
Ich glaube nicht, dass es irgendeine besondere Straffreiheit gibt.
Allerdings können auch Ausländer gelegentlich Probleme machen.
Kürzlich wurden mehrere Cyberexperten nach Ermittlungen verurteilt, die durch eine Anzeige von Joe Biden ausgelöst wurden.
Als Russe, der Ende der 2000er viele Winlocker von den Computern technisch wenig versierter Schulfreunde entfernt hat, fällt es mir schwer, dem zuzustimmen :D
Allerdings dürften diese Dinger weniger ausgefeilt gewesen sein.
Sie verschlüsselten keine Dateien, sondern zeigten ein nicht schließbares Fenster an und verlangten eine Zahlung.
Manchmal gab es auch lustige Formulierungen wie „Danke, dass Sie das Widget für schnellen Zugriff auf Erwachsenenseiten installiert haben“.
Ich wäre eher überrascht, wenn es keine Malware gäbe, die nur Systeme mit aktivierter kyrillischer Tastatur ins Visier nimmt.
Bitte greift keine Bulgaren an :)
Bei jeder Windows-Version bestand der beste Malware-Schutz darin, das täglich genutzte Standardkonto zu einem Nicht-Administratorkonto zu machen.
Man sollte außerdem ein separates vollständiges Administratorkonto anlegen, auch ein lokales Konto reicht.
Das Passwort muss unbedingt ein anderes sein.
Jedes Mal, wenn man etwas installiert oder PowerShell/CMD mit Administratorrechten ausführen muss, erscheint ein Popup, das die separate Anmeldung mit dem Administratorkonto verlangt.
Das ist im Grunde dasselbe wie sudo unter Linux und auch die Art, wie eine vernünftige professionelle IT-Abteilung Windows betreibt.
Wenn ein Popup zur Rechteerhöhung erscheint, ohne dass man es selbst ausgelöst hat, weiß man, dass etwas nicht stimmt, und die meiste Malware kann sich nicht installieren.
Außerdem kann man für das normale Konto ein relativ gewöhnliches, aber nicht zu kurzes Passwort verwenden und für den Administrator-Login ein deutlich komplexeres.
Das eignet sich besonders für Personen mit hohem Risiko, falsch zu klicken, etwa für den „Oma-PC“.
Selbst wenn sie als Benutzer ohne besondere Rechte läuft, kann sie mit allem im Dateisystem arbeiten, auf das dieser Benutzer Zugriff hat, und in den meisten üblichen Konfigurationen sind auch ausgehende Internetverbindungen uneingeschränkt möglich.
Mit anderen Worten: Diese Rechte-Trennung verhindert weder Datenabfluss noch Ransomware gegen wichtige Benutzerdateien oder einfache Sabotage.
Nach Vista hat sich Malware an UAC angepasst, und inzwischen funktioniert jede Malware auch mit normalen Benutzerrechten gut.
Daten, auf die ein normaler Benutzer zugreifen kann, ob lokal oder auf einem entfernten CIFS-Server, werden zum Ziel von Ransomware.
Administratorrechte einzuschränken hindert Malware nicht daran, auf Daten zuzugreifen.
Auch Persistenz hat sich auf benutzerspezifische, nicht administrative Methoden verlagert.
All die halbmaliziösen angepassten Chromium-Varianten, die Nutzer installieren, wenn sie Software suchen, um die IT-Abteilung zu umgehen, funktionieren auf dieselbe Weise.
Trotzdem denke ich, dass Alltagsnutzer unter Windows keine Administratorrechte haben sollten.
Gegen Malware hilft das allerdings kaum.
Für die sensibelsten Tätigkeiten, vor allem Banking, nutze ich ein physisch getrenntes Gerät; fast denselben Effekt kann man aber auch erzielen, indem man einen separaten Nicht-Admin-Windows-Login anlegt und den Zugriff auf Daten, die nicht von Ransomware erwischt werden dürfen, compartmentalized.
Die Isolation zwischen verschiedenen Windows-Benutzerkonten ist tatsächlich ziemlich ordentlich; man muss nur die Daten einschränken, auf die die Konten gemeinsam zugreifen können.
Persönlich wollte ich mit Qubes auf physisch getrennte Maschinen verzichten, habe aber keine Zeit gefunden, mir dessen Eigenheiten anzueignen.
Korrektur: Ich hätte nicht Chrome, sondern „halbmaliziöse angepasste Chromium-Varianten“ sagen sollen.
Unternehmen zahlen oft viel mehr, um ihre Daten zurückzubekommen, und Petya-Ransomware ist ein gutes Beispiel.
Wenn ein Eindringling aber auf irgendeinem Rechner normale Benutzerrechte hat, kann er auf diesem Rechner und im Netzwerk aktiv nach Administratorkonten suchen und Sitzungen stehlen.
Das Endziel ist, Domain-Admin-Rechte zu erlangen.
Abgesehen davon braucht man Administratorrechte nicht zwingend, um Daten zu löschen oder zu verschlüsseln oder Software auszuführen und zu verstecken.
Neben Session-Hijacking gibt es viele Wege, Administratorrechte zu erlangen: ungepatchte Software, unangemessene Benutzerrechte, Zero-Days, Social Engineering und so weiter.
Malware oder Ransomware mit nützlicher Software zu bündeln, die Nutzer installieren möchten, ist ebenfalls eine gängige Methode.
Zu „Gibt es einen Nachteil, diese einfache und kostenlose Vorsichtsmaßnahme zu ergreifen? Meiner Ansicht nach nicht“: Der unmittelbar naheliegende Nachteil ist, dass die Supportkosten steigen, weil Nutzer versehentlich die Tastaturbelegung wechseln.
Die Tastenkürzel zum Umschalten der Tastatur sind meistens nicht schwer versehentlich zu drücken, und insbesondere die meisten Nutzer in den USA wissen wahrscheinlich nicht, was sie getan haben oder wie sie es rückgängig machen.
Ich frage mich, ob das immer noch tatsächlich funktioniert, nachdem Brian Krebs es 2021 weltweit öffentlich gemacht hat.
Russland und Nordkorea betrachten Ransomware als legitime wirtschaftliche Tätigkeit.
Sie ist Teil einer Strategie hybrider Kriegsführung.
Das ist hauptsächlich eine rechtliche und vollstreckungsbezogene Abwägung.
Wenn du den russischen Behörden aus dem Weg gehst, gehen sie auch dir aus dem Weg.
Außerdem ist Russland kein so ergiebiges Zielgebiet wie die USA.
In den USA gibt es viele schlecht bezahlte Büroangestellte auf Einstiegsniveau, die sich durch Business Email Compromise (BEC) dazu bringen lassen, AP-Zahlungsinformationen bereitwillig zu aktualisieren.
2024 waren BEC-Verluste mit 2,77 Milliarden Dollar die ertragreichste Kategorie; die gesamten US-Verluste beliefen sich bei 859.532 Meldungen auf 16 Milliarden Dollar.
In einer Untersuchung, an der ich beteiligt war, brachte ein chinesischer Threat Actor per Social Engineering ein US-Unternehmen dazu, Mitarbeiterkonten anzulegen.
Das war so überzeugend, dass er es an einem bestimmten Standort sogar schaffte, seine eigenen Konten wie Administratoren in den Genehmigungsprozess des Identitäts-Workflows für neue Mitarbeiterkonten einzuschleusen.
Ziel war lediglich, den Mitarbeitern gewährte Rabatte abzuschöpfen; durch deren Weiterverkauf entstand über mehrere Jahre hinweg ein Schaden von rund 1 Million Dollar.
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
Ich frage mich, wie man die Herkunft von Cyberangriffen mit einem gewissen Maß an Sicherheit einschätzen kann.
Man hört Aussagen wie: „Wir wissen, dass es Russen waren, weil die verwendeten Techniken bekannte Techniken russischer Gruppen sind.“ Aber wenn solche Techniken so eindeutig auf eine bestimmte Gruppe oder ein bestimmtes Land hinweisen, wäre es dann nicht gerade einfach, sie nachzuahmen, damit es so aussieht, als wären sie es gewesen?
Wenn ein Kriegsschiff unter russischer Flagge ein US-Schiff beschießt und entkommt, ohne gefasst zu werden, wirkt es töricht, nur anhand der Flagge zu sagen: „Das war zu 100 % Russland.“
Es könnte buchstäblich eine False-Flag-Operation sein, und heutzutage gibt es auch sehr starke politische Motive für so etwas.
Mit einer russischen Tastatur wird man zu einem attraktiven Ziel für NSA-Malware.
Sie verwenden eigene Linux-Distributionen.
Auch als jemand, der eine russische Tastatur verwendet, hatte ich ziemlich viele Viren, bevor ich die Grundlagen der Cybersicherheit kannte.
Insgesamt frage ich mich, wie verbreitet diese Methode in der Praxis wirklich funktioniert, oder ob der Artikel das übertreibt.
Die gewöhnliche Verbreitung von Viren, die in rar-Dateien mitgeschleppt werden, ist ausreichend generisch.
Umgekehrt ist es für eine Organisation, die in GUS-Staaten aktiv ist, logisch, das natürlich sorgfältig zu prüfen, um nicht zum Ziel interner Sicherheitsbehörden zu werden.
Wenn man zum Beispiel ein Botnet aufbaut und vermietet, können andere Gruppen damit richtig großen Schaden anrichten; daher ist es sicherer, es einfach im Ausland zu hosten.