Banyak ransomware berhenti berjalan jika keyboard bahasa Rusia terpasang (2021)

 (krebsonsecurity.com)
4 poin oleh GN⁺ 2025-06-30 | 1 komentar | Bagikan ke WhatsApp
  • Sebagian besar ransomware berhenti berjalan jika di sistem target yang terinfeksi terpasang keyboard bahasa negara-negara CIS seperti Rusia atau Ukraina
  • Teknik penghindaran ini bertujuan agar kelompok kriminal tidak menjadikan lembaga atau individu di negara mereka sendiri sebagai korban, sehingga terhindar dari perhatian aparat penegak hukum setempat
  • Hanya dengan mengubah bahasa keyboard saja tidak mungkin melindungi dari semua malware; yang paling penting tetap mematuhi berbagai praktik keamanan dasar
  • Menambahkan bahasa keyboard mudah dan gratis dilakukan, dengan hampir tanpa efek samping
  • Bahkan jika peretas Rusia mencoba mengakalinya, risiko hukum mereka akan meningkat, sehingga langkah ini tetap memiliki efektivitas sebagai pertahanan

Efek pencegahan infeksi ransomware saat memasang keyboard Rusia/Ukraina

Deteksi bahasa keyboard dan penghentian eksekusi ransomware

  • Dalam diskusi Twitter terbaru terkait serangan ransomware, disebutkan bahwa sangat banyak ransomware memiliki pengaman bawaan yang menghentikan eksekusi jika di Microsoft Windows terpasang keyboard virtual seperti bahasa Rusia atau Ukraina
  • Ini terutama merupakan metode yang banyak digunakan oleh malware yang berasal dari Eropa Timur
  • Sebagai contoh, banyak ransomware tidak akan menginfeksi sistem jika bahasa negara CIS (Persemakmuran Negara-Negara Merdeka) terpasang
  • Tujuan utamanya adalah agar kelompok kriminal ini dapat menghindari penyelidikan hukum di negara mereka sendiri

Kasus Colonial Pipeline dan grup DarkSide

  • Topik ini mengemuka saat pembahasan serangan ransomware terhadap Colonial Pipeline
  • Serangan tersebut dilakukan oleh grup ransomware-as-a-service bernama DarkSide, yang terutama menargetkan perusahaan besar
  • Organisasi kriminal berbasis Rusia telah secara internal melarang penargetan infeksi ke Ukraina, Rusia, dan negara-negara Eropa Timur lainnya
  • Kebijakan ini dimaksudkan untuk menghindari penyelidikan dan campur tangan pemerintah setempat

Struktur hukum di Rusia dan Eropa Timur

  • Di Rusia, penyelidikan kejahatan siber secara resmi baru dimulai jika korbannya adalah warga negaranya sendiri
  • Karena itu, bagi pelaku kejahatan, tidak merusak sistem di negaranya sendiri adalah cara paling aman
  • Dalam praktiknya, beberapa grup ransomware seperti DarkSide dan REvil menjalankan kebijakan ini dengan ketat

Deteksi bahasa yang di-hardcode di dalam kode

  • DarkSide dan berbagai malware lain memasukkan bahasa negara CIS ke dalam daftar yang di-hardcode, lalu tidak berjalan jika bahasa tersebut terpasang di sistem
  • Faktanya, tak terhitung banyaknya malware yang memeriksa bahasa sistem untuk menentukan apakah akan dijalankan atau tidak

Keterbatasan metode ini dan efektivitas nyatanya

  • Dengan sekadar memasang keyboard Rusia atau keyboard negara CIS lainnya, ada efek pencegahan terhadap sebagian ransomware
  • Namun ini tidak berlaku untuk seluruh malware, sehingga strategi pertahanan berlapis tetap wajib
  • Efek samping dari perubahan bahasa juga tidak besar. Jika bahasa berubah tanpa sengaja, pengguna bisa dengan mudah beralih menggunakan Windows+Spacebar

Kemungkinan perubahan strategi penyerang ke depan

  • Sejumlah pakar menilai penyerang bisa saja melewati prosedur pemeriksaan bahasa
  • Memang, pada versi DarkSide yang baru-baru ini dianalisis oleh Mandiant, pengecekan bahasa dihilangkan
  • Namun jika melakukan itu, risiko hukum bagi pelaku kejahatan akan meningkat secara signifikan

Komentar pakar dan 'efek vaksin'

  • Allison Nixon dari Unit221B menjelaskan bahwa peretas Rusia memanfaatkan pengecekan bahasa ini untuk memperoleh perlindungan hukum
  • Dengan menambahkan bahasa dan keyboard tersebut, sistem bisa berfungsi layaknya semacam 'vaksin malware Rusia'
  • Jika metode ini digunakan secara luas, pelaku kejahatan akan menghadapi dilema antara perlindungan hukum dan pendapatan
  • Sama seperti petugas keamanan Barat, para penjahat juga akan kesulitan membedakan apakah sebuah sistem benar-benar sistem lokal atau bukan

Mengakali deteksi lingkungan mesin virtual

  • Beberapa pengguna Twitter juga menyarankan penambahan entri registry yang menandakan bahwa sistem adalah mesin virtual
  • Ini pernah efektif di masa lalu, tetapi karena kini banyak organisasi menggunakan mesin virtual secara rutin, teknik tersebut tidak lagi dianggap andal

Cara mudah menambahkan bahasa

  • Lance James dari Unit221B membuat dan membagikan skrip batch Windows dua baris yang membuat sistem tampak seolah keyboard Rusia terpasang
  • Skrip ini memungkinkan efek penghindaran infeksi tanpa harus mengunduh pustaka bahasa Rusia yang sebenarnya
  • Dengan cara tradisional pun, bahasa keyboard bisa ditambahkan dengan mudah melalui 'Settings → Time & Language → Add a language'
  • Jika pengaturan bahasa berubah dan menu tampil dalam bahasa Rusia, pengguna dapat mengganti bahasa dengan kombinasi Windows+Spacebar

Bacaan terkait

1 komentar

 
GN⁺ 2025-06-30
Komentar Hacker News

  • Idenya adalah jika saya membuat komputer saya terlihat seperti sandbox analisis malware, sebagian besar malware akan berhenti untuk menghindari analisis; rasanya seperti permainan kucing dan tikus

    • Karena sekarang kebanyakan server Windows berjalan di lingkungan virtualisasi, mungkin ini tidak seefektif dulu, meski tetap bisa dikombinasikan dengan indikator lain
    • Ada usulan iseng untuk menaruh string VirtualBox di firmware
    • Disebut bahwa hal ini juga pernah dibahas di postingan Hacker News sebelumnya, yaitu di tautan ini
    • Ada juga lelucon bahwa sekarang kita harus memasang Ghidra di setiap workstation
    • Terhadap klaim bahwa “jika saya menyamarkan komputer saya sebagai sandbox, banyak malware akan berhenti untuk menghindari analisis”, ada bantahan bahwa ini kekhawatiran yang sama sekali berbeda. Yang ditekankan adalah bahwa jika IME Rusia terpasang, malware akan berhenti untuk menghindari risiko hukum

  • Ada pendapat bahwa ada banyak bukti cara seperti ini—mendeteksi keyboard Rusia—benar-benar efektif terhadap kelompok seperti ransomware Patya atau grup Fancy Bear, Cozy Bear, dan Conti; alasan besarnya adalah pemerintah Rusia menjamin impunitas selama mereka tidak menargetkan warganya sendiri
    Juga disebutkan bahwa jika korban memberi tahu penyerang bahwa dirinya orang Rusia atau berbicara dalam bahasa Rusia, terkadang sistem mereka akan didekripsi gratis

    • Ada komentar yang penasaran bagaimana “dekripsi gratis jika mengaku orang Rusia” berlaku di era terjemahan AI, sambil mengingat kasus lama ketika pengembang shareware Rusia memberi lisensi gratis kepada sesama orang Rusia
    • Ditekankan bahwa grup peretas Rusia sangat paham dan semua orang memahami kebijakan “don’t piss inside the tent”
    • Ada catatan bahwa kenyataannya mungkin tidak sesederhana itu; orang Rusia ada di mana-mana dan bisa bekerja di perusahaan korban juga, dan jika nilai tebusannya ratusan juta dolar, rasanya mereka tidak akan melepas begitu saja hanya karena seseorang mengaku orang Rusia; perlu meyakinkan bahwa kepemilikannya benar-benar Rusia atau menunjukkan bukti seperti “ayah saya bekerja di FSB”

  • Seorang Rusia membagikan pengalaman langsung menghapus ‘winlocker’ dari komputer teman-teman yang kurang paham teknologi pada akhir 2000-an; malware ini tidak sekadar mengenkripsi file, tetapi menampilkan jendela yang tidak bisa ditutup dan meminta uang, dengan kalimat lucu seperti “terima kasih untuk widget akses cepat situs dewasa”

  • Ada dugaan tentu saja ada malware yang justru menargetkan sistem dengan keyboard Kiril aktif, menyiratkan bahwa apakah lingkungan itu berbahasa Rusia juga merupakan hal yang diperiksa penyerang

  • Dibagikan tip bahwa metode antimalware terbaik di Windows adalah menjadikan akun utama yang dipakai sehari-hari sebagai akun biasa tanpa hak administrator Buat akun administrator lokal terpisah dengan kata sandi berbeda, lalu jika perlu pekerjaan administratif seperti memasang perangkat lunak atau menjalankan powershell, akan diperlukan autentikasi administrator terpisah; sehingga jika muncul popup mencurigakan, itu menjadi sinyal bahwa ada sesuatu yang salah Untuk akun biasa bisa dipakai kata sandi normal (asal tidak terlalu pendek), sedangkan akun administrator bisa memakai kata sandi yang kompleks, sehingga ini sangat direkomendasikan terutama untuk anggota keluarga yang tidak paham IT

    • Ada tanggapan bahwa bahkan tanpa hak administrator, malware masih bisa melakukan banyak hal; tidak ada banyak pembatasan untuk mengakses sistem file milik pengguna atau terhubung ke internet, sehingga pemisahan hak seperti ini tidak akan mencegah kebocoran data, ransomware, atau perusakan data
    • Ada penjelasan bahwa ini mungkin benar dari awal 2000-an hingga 2012, tetapi sejak Vista malware berevolusi mengikuti UAC sehingga bisa tetap berjalan dengan baik hanya dengan akun biasa; jadi tidak punya hak administrator tidak banyak membantu melindungi data. Dibagikan juga contoh bahwa pekerjaan paling sensitif—terutama finansial—bisa dilakukan di komputer fisik terpisah, atau mencoba isolasi data lewat pemisahan akun pengguna di Windows. Ada juga pendapat pribadi bahwa ingin memakai OS dengan isolasi kuat seperti Qubes OS, tetapi belum sempat mempelajarinya
    • Ringkasannya, penjelasan pengguna itu pada akhirnya sama saja dengan cara User Account Control (UAC) bekerja secara default sejak Windows Vista
    • Ada pendapat bahwa serangan ransomware dari kejahatan terorganisasi kebanyakan menargetkan perusahaan, bukan warga biasa, sehingga ransomware lebih sering ditemui di lingkungan perusahaan daripada secara pribadi. Dengan contoh ransomware Petya, disebutkan skenario di mana bahkan dengan hak pengguna biasa, penyerang bisa mencuri sesi administrator di jaringan internal atau memperoleh hak admin domain; tanpa hak administrator pun mereka tetap bisa menghapus atau mengenkripsi data, menyembunyikan malware, dan malware yang dibundel dalam perangkat lunak juga bisa dipasang langsung oleh pengguna
    • Bersama tautan komik xkcd 1200, intinya adalah bahwa pemisahan akun memang bermakna pada komputer yang dipakai banyak orang, tetapi untuk kebanyakan kasus pengguna tunggal, efektivitas pemisahan hak administrator terbatas; secara realistis, memisahkan hak admin di PC pribadi tidak banyak membantu mencegah peretasan

  • Ada rasa penasaran apakah cara ini masih ampuh bahkan setelah Brian Krebs mengungkapnya pada 2021

    • Ada klaim bahwa Rusia dan Korea Utara menganggap ransomware sebagai aktivitas ekonomi yang sah, dan akan terus menjalankannya sebagai bagian dari strategi perang hibrida
    • Dijelaskan bahwa ini pada dasarnya persoalan hukum dan penegakan, sehingga ada aturan tak tertulis bahwa selama tidak mengusik pemerintah Rusia, mereka juga tidak akan mengusik Anda. Ditekankan pula bahwa dibanding Rusia, Amerika Serikat jauh lebih menjadi pasar sasaran penjarahan; dibagikan statistik FBI bahwa penipuan business email compromise (BEC) di AS saja menimbulkan kerugian 2,7 miliar dolar pada 2024, dan contoh kasus yang ditangani sendiri di mana pelaku ancaman dari Tiongkok menyusup ke perusahaan AS dengan menyamar sebagai karyawan, lalu menyalahgunakan diskon internal karyawan senilai puluhan ribu dolar hingga menyebabkan kerugian 1 juta dolar
    • Disertakan tautan ke Laporan Kejahatan Internet FBI 2024

  • Ada komentar singkat bahwa judulnya sendiri sudah lucu, dengan nuansa bahwa asumsi “kebanyakan ransomware berasal dari Rusia” terasa begitu alami

  • Ada pemikiran bahwa keberadaan keyboard Rusia justru bisa membuatnya lebih menarik bagi malware NSA

    • Sebagai trivia, Rusia, Tiongkok, dan negara lain melarang Windows di lembaga pemerintah dan militer yang sensitif, lalu memakai distribusi Linux buatan sendiri

  • Ada pesan sangat singkat yang hanya menyebut “2021”

    • Ada yang penasaran apakah Ukraina dihapus dari daftar pengecualian, sambil menyoroti fakta bahwa tata letak keyboardnya berbeda dari Rusia

  • Ada pertanyaan apakah selain tata letak keyboard, jika waktunya berubah maka zona waktu dan berbagai informasi lain juga ikut diperiksa