Banyak ransomware berhenti berjalan jika keyboard bahasa Rusia terpasang (2021)
(krebsonsecurity.com)- Banyak varian ransomware memiliki pengaman yang menghentikan instalasi jika keyboard bahasa Rusia atau Ukraina terpasang di Windows; ini adalah kondisi penghindaran yang umum terlihat pada malware asal Eropa Timur
- Layanan ransomware-as-a-service seperti DarkSide menetapkan wilayah larangan infeksi agar tidak menciptakan korban di Rusia, Ukraina, dan kawasan Eropa Timur lainnya, demi menghindari perhatian aparat penegak hukum setempat
- Setelah serangan Colonial Pipeline, DarkSide mengklaim dirinya “nonpolitis”, tetapi kondisi operasi malware yang dibedakan menurut wilayah itu sendiri mencerminkan batasan geopolitik
- Menambahkan keyboard bahasa Rusia atau nilai registri terkait dapat menjadi langkah pencegahan gratis terhadap sebagian malware berbahasa Rusia, tetapi tidak dapat menggantikan pertahanan berlapis dan kebiasaan penggunaan yang aman
- Penyerang memang bisa menghapus pemeriksaan bahasa, tetapi Allison Nixon dari Unit221B menilai bahwa dalam kasus itu peretas Rusia harus memilih antara kehilangan perlindungan hukum dan kehilangan pendapatan
Bahasa dan wilayah yang dihindari ransomware
- Banyak varian ransomware memeriksa apakah keyboard virtual tertentu terpasang di sistem Microsoft Windows, dan jika bahasa seperti Rusia atau Ukraina terdeteksi, instalasi akan dihentikan
- Operator malware menambahkan mekanisme pengaman gagal semacam ini agar tidak ada korban di wilayah mereka sendiri
- Kawasan Persemakmuran Negara-Negara Merdeka (CIS) secara umum tumpang tindih dengan daftar pengecualian infeksi pada banyak malware yang berasal dari Eropa Timur
- DarkSide juga memiliki daftar larangan instalasi yang di-hardcode untuk negara-negara yang termasuk anggota utama CIS, dan Cybereason memublikasikan daftar tersebut
Kasus Colonial Pipeline dan DarkSide
- Pembahasan ini terkait dengan serangan ransomware Colonial Pipeline
- Serangan tersebut menghentikan jalur pipa bahan bakar sepanjang 5.500 mil selama hampir satu minggu pada awal bulan itu
- Dampaknya adalah kelangkaan pasokan di SPBU dan kenaikan harga di seluruh Amerika Serikat
- FBI menyatakan bahwa pelaku serangan adalah DarkSide
- DarkSide adalah operasi ransomware-as-a-service yang relatif baru dan mengklaim hanya menargetkan perusahaan besar
- DarkSide dan program bagi hasil afiliasi berbahasa Rusia lainnya telah lama mencegah pemasangan malware pada komputer di berbagai negara Eropa Timur, termasuk Rusia dan Ukraina
Alasan penghindaran berdasarkan wilayah digunakan
- Di Rusia, diketahui secara umum bahwa jika perusahaan atau individu dalam negeri tidak mengajukan laporan korban resmi, otoritas sering kali tidak memulai penyelidikan kejahatan siber terhadap warga negaranya sendiri
- Bagi para penjahat, memastikan tidak ada korban di negara sendiri adalah cara termudah untuk tetap berada di luar radar aparat penegak hukum domestik
- Setelah disebut dalam perintah eksekutif keamanan siber Presiden Biden, DarkSide berupaya mengambil jarak dari serangan Colonial Pipeline
- Di blog pengungkapan korban, mereka menyatakan bahwa diri mereka “nonpolitis”
- Mereka mengklaim tujuan mereka adalah menghasilkan uang, bukan menciptakan masalah bagi masyarakat
- Mereka juga menyatakan akan meninjau perusahaan yang hendak dienkripsi oleh mitra mereka untuk menghindari konsekuensi sosial
- Namun, organisasi pemerasan digital seperti DarkSide dirancang agar malware mereka hanya beroperasi di wilayah tertentu, sehingga platform itu sendiri mencerminkan kondisi politik regional
REvil, GandCrab, dan daftar pengecualian infeksi
- Para pakar keamanan telah lama menunjukkan keterkaitan antara DarkSide dan REvil, yaitu Sodinokibi
- REvil sebelumnya dikenal sebagai GandCrab, dan baik GandCrab maupun REvil sama-sama melarang afiliasi mereka menginfeksi korban di Suriah
- Suriah juga termasuk dalam daftar pengecualian DarkSide
- DarkSide kemudian mengumumkan penutupan operasi dengan menyatakan bahwa server dan dana Bitcoin mereka telah disita, dan dalam proses itu kaitannya dengan REvil terungkap
Keterbatasan memasang keyboard bahasa Rusia
- Memasang bahasa seperti Rusia tidak membuat komputer Windows aman dari semua malware
- Ada banyak malware yang tidak memedulikan lokasi atau bahasa
- Metode ini tidak dapat menggantikan pertahanan berlapis maupun kebiasaan menghindari perilaku berisiko di internet
- Kekurangannya tidak besar, tetapi Anda bisa saja tanpa sengaja mengganti pengaturan bahasa sehingga menu tampil dalam bahasa Rusia
- Dalam kasus itu, tekan tombol Windows dan spasi secara bersamaan untuk beralih cepat di antara bahasa yang terpasang
Apakah penyerang bisa mengubah pemeriksaan bahasa
- Penyerang peka terhadap langkah pertahanan yang mengurangi profitabilitas, dan mereka bisa mengubah malware agar mengabaikan pemeriksaan bahasa
- Memang, versi DarkSide terbaru yang dianalisis Mandiant tidak melakukan pemeriksaan bahasa sistem
- Allison Nixon dari Unit221B menilai bahwa menghapus pemeriksaan bahasa akan meningkatkan risiko yang tidak bisa diabaikan terhadap keselamatan pribadi dan aset penyerang
- Menurut Nixon, peretas Rusia menggunakan prosedur pemeriksaan ini agar hanya menyerang korban di luar Rusia karena budaya hukum Rusia yang khas
- Hanya dengan memasang keyboard huruf Kiril atau mengubah entri registri tertentu menjadi
RU, sebagian malware dapat menganggap pengguna sebagai orang Rusia dan mengecualikannya dari target serangan
Tekanan yang bisa timbul dari penerapan skala besar
- Nixon menilai bahwa jika banyak orang menggunakan pendekatan ini, dalam jangka pendek hal itu dapat melindungi sebagian pengguna
- Dalam jangka panjang, peretas Rusia harus menanggung salah satu dari dua risiko: kehilangan perlindungan hukum atau kehilangan pendapatan
- Peretas Rusia juga akan menghadapi masalah serupa dengan yang dialami pembela Barat, yakni sulit membedakan komputer domestik yang asli dari komputer luar negeri yang menyamar sebagai komputer domestik
Pengelabuan deteksi VM dan metode registri
- Sebagian pembaca juga mengusulkan cara menambahkan entri pada registri Windows agar terlihat seperti mesin virtual (VM)
- Lance James dari Unit221B menilai bahwa status VM tidak lagi menghentikan malware seperti dulu
- Karena banyak organisasi kini menggunakan lingkungan virtual untuk pekerjaan sehari-hari
- Banyak ransomware yang diamati saat ini tetap berjalan di VM
- James mendukung ide menambahkan bahasa dari daftar negara CIS, dan membuat skrip batch dua baris yang membuat PC Windows tampak seolah telah memasang keyboard bahasa Rusia
- Skrip ini menambahkan referensi bahasa Rusia ke kunci registri Windows tertentu yang diperiksa malware, tanpa perlu mengunduh pustaka skrip tambahan dari Microsoft
Cara menambahkan bahasa di Windows 10
- Untuk memasang bahasa keyboard lain secara langsung di Windows 10, tekan tombol Windows dan X lalu pilih Settings
- Setelah itu pilih “Time and Language”, lalu di menu Language pilih opsi untuk memasang set karakter lain
- Bahasa akan dipasang pada saat reboot berikutnya
- Saat perlu mengganti bahasa, gunakan kombinasi Windows+Spacebar
1 komentar
Komentar Hacker News
Jika Anda membuat mesin terlihat seperti sandbox eksekusi malware, banyak malware akan berhenti berjalan untuk menghindari analisis
Hal seperti ini pada akhirnya adalah bagian dari permainan kucing dan tikus
Malware Windows sudah menjadi cukup canggih selama 30 tahun terakhir
Namun indikator lain tetap bisa dilihat
Ada bukti bahwa ini berhasil terhadap ransomware seperti Petya atau kelompok seperti Fancy Bear, Cozy Bear, dan Conti
Pada umumnya karena pemerintah Rusia secara tidak resmi menjamin impunitas selama targetnya bukan Rusia
Selain itu, jika Anda menyatakan diri sebagai orang Rusia atau menulis dalam bahasa Rusia di chat/email, mereka kadang mendekripsi sistem Anda secara gratis
Tidak persis sama, tetapi saya ingat ada pengembang shareware Rusia yang memberi lisensi gratis kepada orang Rusia
Orang Rusia ada di mana-mana dan bisa saja bekerja di perusahaan korban, jadi kalau tebusannya jutaan dolar, sekadar menjadi orang Rusia tidak akan cukup
Sepertinya Anda harus meyakinkan mereka dengan hal seperti perusahaan itu dimiliki orang Rusia, atau ayah Anda bekerja di FSB
Kebijakan jangan kencing di dalam tenda dipahami dengan baik oleh hampir semua kelompok Rusia
Orang asing tidak menimbulkan masalah semacam itu
Saya tidak berpikir ada impunitas khusus seperti itu
Namun orang asing pun kadang bisa menimbulkan masalah
Baru-baru ini, setelah penyelidikan yang dimulai dari laporan Joe Biden, beberapa pakar siber dijatuhi hukuman
Sebagai orang Rusia yang pada akhir 2000-an sering menghapus winlocker dari komputer teman-teman sekolah yang tidak akrab dengan teknologi, saya sulit setuju :D
Namun hal-hal semacam itu mungkin kurang canggih
Mereka tidak mengenkripsi file, hanya menampilkan jendela yang tidak bisa ditutup dan meminta pembayaran
Kadang ada juga kalimat lucu seperti “terima kasih telah memasang widget akses cepat ke situs dewasa”
Saya justru akan terkejut kalau tidak ada malware yang hanya menargetkan sistem dengan keyboard Sirilik aktif
Tolong jangan serang orang Bulgaria :)
Pada versi Windows apa pun, pertahanan malware terbaik adalah menjadikan akun utama yang dipakai sehari-hari sebagai akun non-administrator
Anda juga harus membuat akun administrator penuh yang terpisah, dan boleh saja akun lokal
Kata sandinya harus berbeda
Setiap kali perlu memasang sesuatu atau menjalankan PowerShell/CMD sebagai administrator, akan muncul popup yang meminta login terpisah ke akun administrator
Ini pada dasarnya sama dengan cara sudo di Linux, dan juga cara departemen IT profesional yang benar mengelola Windows
Jika popup eskalasi hak administrator muncul padahal Anda tidak memicunya langsung, Anda tahu ada yang tidak beres, dan sebagian besar malware tidak akan bisa terpasang
Selain itu, untuk akun biasa Anda bisa memakai kata sandi yang relatif biasa tetapi tidak terlalu pendek, sementara untuk login administrator memakai kata sandi yang jauh lebih kompleks
Ini sangat cocok terutama untuk orang yang berisiko tinggi salah klik, seperti “PC nenek”
Sekalipun berjalan sebagai pengguna tanpa hak istimewa, ia bisa melakukan apa saja pada sistem file yang dapat diakses pengguna itu, dan pada sebagian besar konfigurasi umum koneksi internet keluar juga bisa dilakukan tanpa pembatasan
Artinya pemisahan hak seperti ini tidak mencegah kebocoran data, ransomware yang menargetkan file penting pengguna, atau perusakan sederhana
Setelah Vista, malware beradaptasi dengan UAC, dan kini semua malware berjalan baik-baik saja bahkan dengan hak pengguna biasa
Data yang dapat diakses pengguna biasa, baik lokal maupun di server CIFS jarak jauh, menjadi target ransomware
Membatasi hak administrator tidak mencegah malware mengakses data
Mekanisme persistensi juga bergeser ke cara per pengguna dan non-administrator
Berbagai Chromium kustom yang nyaris malware, yang dipasang pengguna ketika mencari software untuk mengakali departemen IT, juga bekerja dengan cara yang sama
Meski begitu, menurut saya pengguna Windows harian tetap tidak boleh diberi hak administrator
Hanya saja itu tidak banyak membantu terhadap malware
Untuk aktivitas paling sensitif, terutama perbankan, saya menggunakan perangkat yang dipisahkan secara fisik, tetapi memakai login Windows non-administrator terpisah dan mengotak-kotakkan akses ke data yang tidak boleh terkena ransomware bisa memberi efek yang hampir sama
Isolasi antar-akun pengguna yang berbeda di Windows sebenarnya cukup baik, jadi tinggal batasi data yang bisa diakses bersama oleh akun-akun tersebut
Secara pribadi saya ingin memakai Qubes agar bisa berhenti menggunakan mesin yang dipisahkan secara fisik, tetapi belum sempat meluangkan waktu untuk mempelajari perangkat khasnya
Sunting: Seharusnya saya menulis “Chromium kustom yang nyaris malware”, bukan Chrome
Perusahaan sering membayar jauh lebih besar untuk mendapatkan kembali data mereka, dan ransomware Petya adalah contoh yang bagus
Namun jika penyusup memiliki hak pengguna biasa di suatu mesin, ia bisa secara aktif mencari akun administrator di mesin dan jaringan itu serta mencuri sesi
Tujuan akhirnya adalah mendapatkan hak Domain Admin
Selain itu, hak administrator tidak selalu diperlukan untuk menghapus/mengenkripsi data atau menjalankan/menyembunyikan software
Selain pembajakan sesi, ada banyak cara untuk mendapatkan hak administrator, seperti software yang belum ditambal, hak pengguna yang tidak tepat, zero-day, dan rekayasa sosial
Membundel malware atau ransomware ke dalam software berguna yang ingin dipasang pengguna juga merupakan metode yang umum
Mengenai “apakah ada kekurangan dari langkah pencegahan yang sederhana dan gratis ini? Menurut saya tidak ada”, kekurangan yang langsung terlintas adalah biaya dukungan yang meningkat karena pengguna tanpa sengaja mengganti keyboard
Pintasan untuk mengganti keyboard biasanya tidak sulit tertekan tanpa sengaja, dan khususnya sebagian besar pengguna AS mungkin tidak tahu apa yang mereka lakukan atau cara mengembalikannya
Saya penasaran apakah ini masih benar-benar berhasil bahkan setelah Brian Krebs memublikasikannya ke seluruh dunia pada 2021
Rusia dan Korea Utara memandang ransomware sebagai aktivitas ekonomi yang sah
Ini bagian dari strategi perang hibrida
Ini terutama pertimbangan hukum dan penegakan
Jika Anda menghindari otoritas Rusia, mereka juga akan menghindari Anda
Selain itu, Rusia bukan lahan target yang sesubur AS
Di AS ada banyak pegawai kantor junior bergaji rendah yang dengan senang hati memperbarui informasi pembayaran AP setelah tertipu Business Email Compromise (BEC)
Kerugian BEC pada 2024 mencapai 2,77 miliar dolar, menjadi kategori paling menguntungkan, sementara total kerugian AS mencapai 16 miliar dolar dari 859.532 laporan
Dalam salah satu investigasi yang pernah saya ikuti, pelaku ancaman dari Tiongkok menggunakan rekayasa sosial untuk membuat akun karyawan di sebuah perusahaan AS
Mereka begitu meyakinkan sampai, pada titik tertentu, berhasil menyisipkan akun mereka sendiri seperti administrator dalam proses persetujuan alur kerja identitas saat membuat akun karyawan baru di cabang tertentu
Tujuannya hanya mencuri manfaat diskon yang diberikan kepada karyawan, lalu menjualnya kembali sehingga menimbulkan kerugian sekitar 1 juta dolar selama beberapa tahun
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
Saya penasaran bagaimana asal serangan siber bisa diperkirakan dengan tingkat keyakinan tertentu
Kadang ada yang mengatakan semacam “kami tahu mereka orang Rusia karena teknik yang digunakan adalah teknik yang diketahui milik kelompok Rusia”, tetapi jika teknik seperti itu begitu jelas menunjuk ke kelompok atau negara tertentu, bukankah justru mudah menirunya agar terlihat seolah-olah merekalah pelakunya?
Jika sebuah kapal perang berbendera Rusia menembaki kapal AS lalu kabur tanpa tertangkap, mengatakan “100% itu pasti Rusia” hanya berdasarkan benderanya tampak bodoh
Bisa saja itu secara harfiah adalah operasi bendera palsu, dan sekarang ada motivasi politik yang sangat besar untuk melakukan hal seperti itu
Jika Anda punya keyboard Rusia, Anda menjadi target menarik bagi malware NSA
Mereka memakai distribusi Linux sendiri
Sebagai pengguna keyboard Rusia pun, sebelum memahami dasar-dasar keamanan siber, saya cukup sering terkena virus
Secara keseluruhan saya penasaran seberapa luas cara ini benar-benar berhasil dalam praktik, atau apakah artikel itu melebih-lebihkannya
Penyebaran virus umum yang bercampur dalam file rar cukup bersifat universal
Sebaliknya, bagi organisasi yang beroperasi di negara-negara CIS, masuk akal jika mereka tentu memeriksanya dengan hati-hati agar tidak menjadi target badan keamanan dalam negeri
Misalnya, jika Anda membuat botnet lalu menyewakannya, kelompok lain bisa menggunakannya untuk menimbulkan kerusakan yang benar-benar besar, jadi lebih aman untuk sekadar meng-hosting-nya di luar negeri