4 poin oleh GN⁺ 2025-06-30 | 1 komentar | Bagikan ke WhatsApp
  • Banyak varian ransomware memiliki pengaman yang menghentikan instalasi jika keyboard bahasa Rusia atau Ukraina terpasang di Windows; ini adalah kondisi penghindaran yang umum terlihat pada malware asal Eropa Timur
  • Layanan ransomware-as-a-service seperti DarkSide menetapkan wilayah larangan infeksi agar tidak menciptakan korban di Rusia, Ukraina, dan kawasan Eropa Timur lainnya, demi menghindari perhatian aparat penegak hukum setempat
  • Setelah serangan Colonial Pipeline, DarkSide mengklaim dirinya “nonpolitis”, tetapi kondisi operasi malware yang dibedakan menurut wilayah itu sendiri mencerminkan batasan geopolitik
  • Menambahkan keyboard bahasa Rusia atau nilai registri terkait dapat menjadi langkah pencegahan gratis terhadap sebagian malware berbahasa Rusia, tetapi tidak dapat menggantikan pertahanan berlapis dan kebiasaan penggunaan yang aman
  • Penyerang memang bisa menghapus pemeriksaan bahasa, tetapi Allison Nixon dari Unit221B menilai bahwa dalam kasus itu peretas Rusia harus memilih antara kehilangan perlindungan hukum dan kehilangan pendapatan

Bahasa dan wilayah yang dihindari ransomware

  • Banyak varian ransomware memeriksa apakah keyboard virtual tertentu terpasang di sistem Microsoft Windows, dan jika bahasa seperti Rusia atau Ukraina terdeteksi, instalasi akan dihentikan
  • Operator malware menambahkan mekanisme pengaman gagal semacam ini agar tidak ada korban di wilayah mereka sendiri
  • Kawasan Persemakmuran Negara-Negara Merdeka (CIS) secara umum tumpang tindih dengan daftar pengecualian infeksi pada banyak malware yang berasal dari Eropa Timur
  • DarkSide juga memiliki daftar larangan instalasi yang di-hardcode untuk negara-negara yang termasuk anggota utama CIS, dan Cybereason memublikasikan daftar tersebut

Kasus Colonial Pipeline dan DarkSide

  • Pembahasan ini terkait dengan serangan ransomware Colonial Pipeline
    • Serangan tersebut menghentikan jalur pipa bahan bakar sepanjang 5.500 mil selama hampir satu minggu pada awal bulan itu
    • Dampaknya adalah kelangkaan pasokan di SPBU dan kenaikan harga di seluruh Amerika Serikat
    • FBI menyatakan bahwa pelaku serangan adalah DarkSide
  • DarkSide adalah operasi ransomware-as-a-service yang relatif baru dan mengklaim hanya menargetkan perusahaan besar
  • DarkSide dan program bagi hasil afiliasi berbahasa Rusia lainnya telah lama mencegah pemasangan malware pada komputer di berbagai negara Eropa Timur, termasuk Rusia dan Ukraina

Alasan penghindaran berdasarkan wilayah digunakan

  • Di Rusia, diketahui secara umum bahwa jika perusahaan atau individu dalam negeri tidak mengajukan laporan korban resmi, otoritas sering kali tidak memulai penyelidikan kejahatan siber terhadap warga negaranya sendiri
  • Bagi para penjahat, memastikan tidak ada korban di negara sendiri adalah cara termudah untuk tetap berada di luar radar aparat penegak hukum domestik
  • Setelah disebut dalam perintah eksekutif keamanan siber Presiden Biden, DarkSide berupaya mengambil jarak dari serangan Colonial Pipeline
    • Di blog pengungkapan korban, mereka menyatakan bahwa diri mereka “nonpolitis”
    • Mereka mengklaim tujuan mereka adalah menghasilkan uang, bukan menciptakan masalah bagi masyarakat
    • Mereka juga menyatakan akan meninjau perusahaan yang hendak dienkripsi oleh mitra mereka untuk menghindari konsekuensi sosial
  • Namun, organisasi pemerasan digital seperti DarkSide dirancang agar malware mereka hanya beroperasi di wilayah tertentu, sehingga platform itu sendiri mencerminkan kondisi politik regional

REvil, GandCrab, dan daftar pengecualian infeksi

  • Para pakar keamanan telah lama menunjukkan keterkaitan antara DarkSide dan REvil, yaitu Sodinokibi
  • REvil sebelumnya dikenal sebagai GandCrab, dan baik GandCrab maupun REvil sama-sama melarang afiliasi mereka menginfeksi korban di Suriah
  • Suriah juga termasuk dalam daftar pengecualian DarkSide
  • DarkSide kemudian mengumumkan penutupan operasi dengan menyatakan bahwa server dan dana Bitcoin mereka telah disita, dan dalam proses itu kaitannya dengan REvil terungkap

Keterbatasan memasang keyboard bahasa Rusia

  • Memasang bahasa seperti Rusia tidak membuat komputer Windows aman dari semua malware
  • Ada banyak malware yang tidak memedulikan lokasi atau bahasa
  • Metode ini tidak dapat menggantikan pertahanan berlapis maupun kebiasaan menghindari perilaku berisiko di internet
  • Kekurangannya tidak besar, tetapi Anda bisa saja tanpa sengaja mengganti pengaturan bahasa sehingga menu tampil dalam bahasa Rusia
    • Dalam kasus itu, tekan tombol Windows dan spasi secara bersamaan untuk beralih cepat di antara bahasa yang terpasang

Apakah penyerang bisa mengubah pemeriksaan bahasa

  • Penyerang peka terhadap langkah pertahanan yang mengurangi profitabilitas, dan mereka bisa mengubah malware agar mengabaikan pemeriksaan bahasa
  • Memang, versi DarkSide terbaru yang dianalisis Mandiant tidak melakukan pemeriksaan bahasa sistem
  • Allison Nixon dari Unit221B menilai bahwa menghapus pemeriksaan bahasa akan meningkatkan risiko yang tidak bisa diabaikan terhadap keselamatan pribadi dan aset penyerang
  • Menurut Nixon, peretas Rusia menggunakan prosedur pemeriksaan ini agar hanya menyerang korban di luar Rusia karena budaya hukum Rusia yang khas
  • Hanya dengan memasang keyboard huruf Kiril atau mengubah entri registri tertentu menjadi RU, sebagian malware dapat menganggap pengguna sebagai orang Rusia dan mengecualikannya dari target serangan

Tekanan yang bisa timbul dari penerapan skala besar

  • Nixon menilai bahwa jika banyak orang menggunakan pendekatan ini, dalam jangka pendek hal itu dapat melindungi sebagian pengguna
  • Dalam jangka panjang, peretas Rusia harus menanggung salah satu dari dua risiko: kehilangan perlindungan hukum atau kehilangan pendapatan
  • Peretas Rusia juga akan menghadapi masalah serupa dengan yang dialami pembela Barat, yakni sulit membedakan komputer domestik yang asli dari komputer luar negeri yang menyamar sebagai komputer domestik

Pengelabuan deteksi VM dan metode registri

  • Sebagian pembaca juga mengusulkan cara menambahkan entri pada registri Windows agar terlihat seperti mesin virtual (VM)
  • Lance James dari Unit221B menilai bahwa status VM tidak lagi menghentikan malware seperti dulu
    • Karena banyak organisasi kini menggunakan lingkungan virtual untuk pekerjaan sehari-hari
    • Banyak ransomware yang diamati saat ini tetap berjalan di VM
  • James mendukung ide menambahkan bahasa dari daftar negara CIS, dan membuat skrip batch dua baris yang membuat PC Windows tampak seolah telah memasang keyboard bahasa Rusia
  • Skrip ini menambahkan referensi bahasa Rusia ke kunci registri Windows tertentu yang diperiksa malware, tanpa perlu mengunduh pustaka skrip tambahan dari Microsoft

Cara menambahkan bahasa di Windows 10

  • Untuk memasang bahasa keyboard lain secara langsung di Windows 10, tekan tombol Windows dan X lalu pilih Settings
  • Setelah itu pilih “Time and Language”, lalu di menu Language pilih opsi untuk memasang set karakter lain
  • Bahasa akan dipasang pada saat reboot berikutnya
  • Saat perlu mengganti bahasa, gunakan kombinasi Windows+Spacebar

1 komentar

 
GN⁺ 2025-06-30
Komentar Hacker News
  • Jika Anda membuat mesin terlihat seperti sandbox eksekusi malware, banyak malware akan berhenti berjalan untuk menghindari analisis
    Hal seperti ini pada akhirnya adalah bagian dari permainan kucing dan tikus

    • Malware yang canggih memeriksa jumlah core CPU pada PC, kapasitas hard disk, dan sebagian bahkan melihat suhu hardware atau keberadaan debugger
      Malware Windows sudah menjadi cukup canggih selama 30 tahun terakhir
    • Saat ini sebagian besar server Windows sudah divirtualisasi, jadi saya tidak begitu yakin apakah cara ini masih ampuh
      Namun indikator lain tetap bisa dilihat
    • Cukup masukkan string VirtualBox ke firmware :)
    • Ini juga muncul di tulisan lain di halaman depan, dan sepertinya submission ini juga berasal dari sana: https://news.ycombinator.com/item?id=44413185
  • Ada bukti bahwa ini berhasil terhadap ransomware seperti Petya atau kelompok seperti Fancy Bear, Cozy Bear, dan Conti
    Pada umumnya karena pemerintah Rusia secara tidak resmi menjamin impunitas selama targetnya bukan Rusia
    Selain itu, jika Anda menyatakan diri sebagai orang Rusia atau menulis dalam bahasa Rusia di chat/email, mereka kadang mendekripsi sistem Anda secara gratis

    • Saya penasaran bagaimana itu akan bekerja di era terjemahan AI
      Tidak persis sama, tetapi saya ingat ada pengembang shareware Rusia yang memberi lisensi gratis kepada orang Rusia
    • Menurut saya tidak sesederhana itu
      Orang Rusia ada di mana-mana dan bisa saja bekerja di perusahaan korban, jadi kalau tebusannya jutaan dolar, sekadar menjadi orang Rusia tidak akan cukup
      Sepertinya Anda harus meyakinkan mereka dengan hal seperti perusahaan itu dimiliki orang Rusia, atau ayah Anda bekerja di FSB
    • Di sini poin utamanya tepat
      Kebijakan jangan kencing di dalam tenda dipahami dengan baik oleh hampir semua kelompok Rusia
    • Menurut saya alasan mereka tidak ingin menyerang orang Rusia adalah karena jika korban melapor ke polisi, polisi mau tidak mau harus mulai menyelidiki
      Orang asing tidak menimbulkan masalah semacam itu
      Saya tidak berpikir ada impunitas khusus seperti itu
      Namun orang asing pun kadang bisa menimbulkan masalah
      Baru-baru ini, setelah penyelidikan yang dimulai dari laporan Joe Biden, beberapa pakar siber dijatuhi hukuman
  • Sebagai orang Rusia yang pada akhir 2000-an sering menghapus winlocker dari komputer teman-teman sekolah yang tidak akrab dengan teknologi, saya sulit setuju :D
    Namun hal-hal semacam itu mungkin kurang canggih
    Mereka tidak mengenkripsi file, hanya menampilkan jendela yang tidak bisa ditutup dan meminta pembayaran
    Kadang ada juga kalimat lucu seperti “terima kasih telah memasang widget akses cepat ke situs dewasa”

  • Saya justru akan terkejut kalau tidak ada malware yang hanya menargetkan sistem dengan keyboard Sirilik aktif

    • Keyboard Sirilik ada banyak jenisnya
      Tolong jangan serang orang Bulgaria :)
    • Tentu saja lembaga seperti CIA harus bisa membedakan targetnya
  • Pada versi Windows apa pun, pertahanan malware terbaik adalah menjadikan akun utama yang dipakai sehari-hari sebagai akun non-administrator
    Anda juga harus membuat akun administrator penuh yang terpisah, dan boleh saja akun lokal
    Kata sandinya harus berbeda
    Setiap kali perlu memasang sesuatu atau menjalankan PowerShell/CMD sebagai administrator, akan muncul popup yang meminta login terpisah ke akun administrator
    Ini pada dasarnya sama dengan cara sudo di Linux, dan juga cara departemen IT profesional yang benar mengelola Windows
    Jika popup eskalasi hak administrator muncul padahal Anda tidak memicunya langsung, Anda tahu ada yang tidak beres, dan sebagian besar malware tidak akan bisa terpasang
    Selain itu, untuk akun biasa Anda bisa memakai kata sandi yang relatif biasa tetapi tidak terlalu pendek, sementara untuk login administrator memakai kata sandi yang jauh lebih kompleks
    Ini sangat cocok terutama untuk orang yang berisiko tinggi salah klik, seperti “PC nenek”

    • Malware bisa melakukan banyak hal bahkan tanpa “instalasi”
      Sekalipun berjalan sebagai pengguna tanpa hak istimewa, ia bisa melakukan apa saja pada sistem file yang dapat diakses pengguna itu, dan pada sebagian besar konfigurasi umum koneksi internet keluar juga bisa dilakukan tanpa pembatasan
      Artinya pemisahan hak seperti ini tidak mencegah kebocoran data, ransomware yang menargetkan file penting pengguna, atau perusakan sederhana
    • Dari awal 2000-an sampai sekitar 2012 saya mungkin akan setuju
      Setelah Vista, malware beradaptasi dengan UAC, dan kini semua malware berjalan baik-baik saja bahkan dengan hak pengguna biasa
      Data yang dapat diakses pengguna biasa, baik lokal maupun di server CIFS jarak jauh, menjadi target ransomware
      Membatasi hak administrator tidak mencegah malware mengakses data
      Mekanisme persistensi juga bergeser ke cara per pengguna dan non-administrator
      Berbagai Chromium kustom yang nyaris malware, yang dipasang pengguna ketika mencari software untuk mengakali departemen IT, juga bekerja dengan cara yang sama
      Meski begitu, menurut saya pengguna Windows harian tetap tidak boleh diberi hak administrator
      Hanya saja itu tidak banyak membantu terhadap malware
      Untuk aktivitas paling sensitif, terutama perbankan, saya menggunakan perangkat yang dipisahkan secara fisik, tetapi memakai login Windows non-administrator terpisah dan mengotak-kotakkan akses ke data yang tidak boleh terkena ransomware bisa memberi efek yang hampir sama
      Isolasi antar-akun pengguna yang berbeda di Windows sebenarnya cukup baik, jadi tinggal batasi data yang bisa diakses bersama oleh akun-akun tersebut
      Secara pribadi saya ingin memakai Qubes agar bisa berhenti menggunakan mesin yang dipisahkan secara fisik, tetapi belum sempat meluangkan waktu untuk mempelajari perangkat khasnya
      Sunting: Seharusnya saya menulis “Chromium kustom yang nyaris malware”, bukan Chrome
    • Penjelasan barusan terdengar seperti yang sudah dilakukan User Account Control (UAC) sejak Windows Vista, yaitu sejak 2006
    • Biasanya individu bukan target serangan ransomware oleh kejahatan terorganisasi
      Perusahaan sering membayar jauh lebih besar untuk mendapatkan kembali data mereka, dan ransomware Petya adalah contoh yang bagus
      Namun jika penyusup memiliki hak pengguna biasa di suatu mesin, ia bisa secara aktif mencari akun administrator di mesin dan jaringan itu serta mencuri sesi
      Tujuan akhirnya adalah mendapatkan hak Domain Admin
      Selain itu, hak administrator tidak selalu diperlukan untuk menghapus/mengenkripsi data atau menjalankan/menyembunyikan software
      Selain pembajakan sesi, ada banyak cara untuk mendapatkan hak administrator, seperti software yang belum ditambal, hak pengguna yang tidak tepat, zero-day, dan rekayasa sosial
      Membundel malware atau ransomware ke dalam software berguna yang ingin dipasang pengguna juga merupakan metode yang umum
    • Pada versi Windows apa pun, pertahanan malware terbaik adalah tidak memakai Windows
  • Mengenai “apakah ada kekurangan dari langkah pencegahan yang sederhana dan gratis ini? Menurut saya tidak ada”, kekurangan yang langsung terlintas adalah biaya dukungan yang meningkat karena pengguna tanpa sengaja mengganti keyboard
    Pintasan untuk mengganti keyboard biasanya tidak sulit tertekan tanpa sengaja, dan khususnya sebagian besar pengguna AS mungkin tidak tahu apa yang mereka lakukan atau cara mengembalikannya

    • Saya bukan pengguna Windows, tetapi bisakah administrator sistem mengaktifkan keyboard ini namun mematikan pintasan pergantiannya?
  • Saya penasaran apakah ini masih benar-benar berhasil bahkan setelah Brian Krebs memublikasikannya ke seluruh dunia pada 2021

    • Dari dulu memang begitu dan akan terus begitu
      Rusia dan Korea Utara memandang ransomware sebagai aktivitas ekonomi yang sah
      Ini bagian dari strategi perang hibrida
    • Ya, jelas begitu
      Ini terutama pertimbangan hukum dan penegakan
      Jika Anda menghindari otoritas Rusia, mereka juga akan menghindari Anda
      Selain itu, Rusia bukan lahan target yang sesubur AS
      Di AS ada banyak pegawai kantor junior bergaji rendah yang dengan senang hati memperbarui informasi pembayaran AP setelah tertipu Business Email Compromise (BEC)
      Kerugian BEC pada 2024 mencapai 2,77 miliar dolar, menjadi kategori paling menguntungkan, sementara total kerugian AS mencapai 16 miliar dolar dari 859.532 laporan
      Dalam salah satu investigasi yang pernah saya ikuti, pelaku ancaman dari Tiongkok menggunakan rekayasa sosial untuk membuat akun karyawan di sebuah perusahaan AS
      Mereka begitu meyakinkan sampai, pada titik tertentu, berhasil menyisipkan akun mereka sendiri seperti administrator dalam proses persetujuan alur kerja identitas saat membuat akun karyawan baru di cabang tertentu
      Tujuannya hanya mencuri manfaat diskon yang diberikan kepada karyawan, lalu menjualnya kembali sehingga menimbulkan kerugian sekitar 1 juta dolar selama beberapa tahun
      https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
  • Saya penasaran bagaimana asal serangan siber bisa diperkirakan dengan tingkat keyakinan tertentu
    Kadang ada yang mengatakan semacam “kami tahu mereka orang Rusia karena teknik yang digunakan adalah teknik yang diketahui milik kelompok Rusia”, tetapi jika teknik seperti itu begitu jelas menunjuk ke kelompok atau negara tertentu, bukankah justru mudah menirunya agar terlihat seolah-olah merekalah pelakunya?
    Jika sebuah kapal perang berbendera Rusia menembaki kapal AS lalu kabur tanpa tertangkap, mengatakan “100% itu pasti Rusia” hanya berdasarkan benderanya tampak bodoh
    Bisa saja itu secara harfiah adalah operasi bendera palsu, dan sekarang ada motivasi politik yang sangat besar untuk melakukan hal seperti itu

  • Jika Anda punya keyboard Rusia, Anda menjadi target menarik bagi malware NSA

    • Rusia, Tiongkok, dan lainnya melarang penggunaan Windows pada perangkat militer atau pegawai pemerintah yang sensitif
      Mereka memakai distribusi Linux sendiri
  • Sebagai pengguna keyboard Rusia pun, sebelum memahami dasar-dasar keamanan siber, saya cukup sering terkena virus
    Secara keseluruhan saya penasaran seberapa luas cara ini benar-benar berhasil dalam praktik, atau apakah artikel itu melebih-lebihkannya

    • Saya menganggap ini terkait serangan bertarget dan kampanye tertentu
      Penyebaran virus umum yang bercampur dalam file rar cukup bersifat universal
      Sebaliknya, bagi organisasi yang beroperasi di negara-negara CIS, masuk akal jika mereka tentu memeriksanya dengan hati-hati agar tidak menjadi target badan keamanan dalam negeri
      Misalnya, jika Anda membuat botnet lalu menyewakannya, kelompok lain bisa menggunakannya untuk menimbulkan kerusakan yang benar-benar besar, jadi lebih aman untuk sekadar meng-hosting-nya di luar negeri