Nhiều mã độc tống tiền sẽ dừng chạy nếu máy có cài bàn phím tiếng Nga (2021)

 (krebsonsecurity.com)
4 điểm bởi GN⁺ 2025-06-30 | 1 bình luận | Chia sẻ qua WhatsApp
  • Phần lớn ransomware sẽ dừng chạy nếu trên hệ thống mục tiêu bị lây nhiễm có cài bàn phím ngôn ngữ các nước CIS như tiếng Nga hoặc tiếng Ukraina
  • Kỹ thuật né tránh này nhằm giúp các nhóm tội phạm không biến tổ chức hay cá nhân trong nước họ thành nạn nhân, từ đó tránh thu hút sự chú ý của cơ quan điều tra địa phương
  • Chỉ thay đổi ngôn ngữ bàn phím thôi thì không thể phòng vệ trước mọi mã độc, về cơ bản vẫn cần tuân thủ nhiều nguyên tắc bảo mật khác nhau
  • Việc thêm ngôn ngữ bàn phím có thể thực hiện dễ dàng và miễn phí, gần như không có tác dụng phụ
  • Ngay cả khi hacker Nga vượt qua biện pháp này, rủi ro pháp lý của chúng cũng tăng lên, nên nó vẫn có hiệu quả ở mức độ nhất định như một biện pháp phòng vệ

Hiệu quả ngăn chặn lây nhiễm ransomware khi cài bàn phím tiếng Nga/tiếng Ukraina

Phát hiện ngôn ngữ bàn phím và việc ransomware dừng thực thi

  • Trong các thảo luận gần đây trên Twitter về các vụ tấn công ransomware, người ta nhắc tới thực tế rằng rất nhiều ransomware có cơ chế an toàn tích hợp sẵn sẽ dừng chạy nếu trên Microsoft Windows có cài bàn phím ảo như tiếng Nga hoặc tiếng Ukraina
  • Đây là cách làm thường được mã độc có nguồn gốc Đông Âu sử dụng
  • Ví dụ, nhiều ransomware sẽ không lây nhiễm hệ thống nếu phát hiện đã cài ngôn ngữ của các quốc gia CIS (Cộng đồng các Quốc gia Độc lập)
  • Mục đích chính là để các nhóm tội phạm này tránh bị điều tra pháp lý ngay trong chính quốc gia của họ

Vụ Colonial Pipeline và nhóm DarkSide

  • Nội dung này được chú ý trong quá trình thảo luận về vụ tấn công ransomware nhằm vào Colonial Pipeline
  • Vụ tấn công đó do nhóm ransomware-as-a-service mang tên DarkSide thực hiện, với mục tiêu chính là các doanh nghiệp lớn
  • Các tổ chức tội phạm đặt tại Nga đã duy trì lệnh cấm nội bộ, không cho phép lây nhiễm vào Ukraina, Nga và các nước Đông Âu
  • Chính sách này nhằm tránh sự điều tra và can thiệp từ chính quyền địa phương

Cấu trúc pháp lý tại Nga và Đông Âu

  • Tại Nga, điều tra tội phạm mạng chỉ chính thức được khởi động khi nạn nhân là công dân trong nước
  • Vì vậy, cách an toàn nhất với tội phạm là không gây thiệt hại cho các hệ thống trong nước của chúng
  • Trên thực tế, nhiều nhóm ransomware như DarkSide và REvil đã tuân thủ nghiêm ngặt chính sách này

Phát hiện ngôn ngữ được hardcode trong mã

  • DarkSide và nhiều mã độc khác đưa ngôn ngữ của các nước CIS vào danh sách hardcode, và sẽ không chạy nếu các ngôn ngữ đó được cài trên hệ thống
  • Trên thực tế, vô số mã độc kiểm tra ngôn ngữ hệ thống để quyết định có thực thi hay không

Giới hạn của cách né tránh và hiệu quả thực tế

  • Chỉ cần cài bàn phím tiếng Nga hoặc ngôn ngữ CIS khác thì có thể tạo ra hiệu quả phòng ngừa đối với một số ransomware
  • Tuy nhiên, nó không thể đối phó với toàn bộ mã độc, và chiến lược phòng thủ nhiều lớp vẫn là điều bắt buộc
  • Tác dụng phụ do đổi ngôn ngữ cũng không lớn. Nếu lỡ chuyển nhầm ngôn ngữ, có thể dễ dàng đổi lại bằng Windows+Spacebar

Khả năng thay đổi chiến lược của kẻ tấn công trong tương lai

  • Một số chuyên gia phân tích rằng kẻ tấn công có thể sẽ bỏ qua bước kiểm tra ngôn ngữ
  • Thực tế, trong phiên bản DarkSide được Mandiant phân tích gần đây, bước kiểm tra ngôn ngữ đã bị lược bỏ
  • Tuy nhiên, làm như vậy sẽ khiến rủi ro pháp lý của tội phạm tăng lên đáng kể

Bình luận của chuyên gia và 'hiệu ứng vaccine'

  • Allison Nixon của Unit221B giải thích rằng hacker Nga tận dụng bước kiểm tra ngôn ngữ này để nhận được sự bảo vệ về mặt pháp lý
  • Nếu thêm ngôn ngữ và bàn phím đó vào hệ thống, nó có thể đóng vai trò như một kiểu 'vaccine chống mã độc Nga'
  • Nếu phương pháp này được sử dụng trên diện rộng, tội phạm sẽ phải đối mặt với thế tiến thoái lưỡng nan giữa sự bảo vệ pháp lý và lợi nhuận
  • Tội phạm, cũng như các phụ trách an ninh phương Tây, sẽ khó phân biệt được đâu là hệ thống thực sự thuộc địa phương

Vượt qua phát hiện môi trường máy ảo

  • Một số người dùng Twitter cũng đề xuất thêm các mục registry cho biết đây là máy ảo
  • Cách này từng có hiệu quả trong quá khứ, nhưng ngày nay nhiều tổ chức sử dụng máy ảo thường xuyên nên kỹ thuật đó không còn đáng tin cậy nữa

Cách thêm ngôn ngữ một cách dễ dàng

  • Lance James của Unit221B đã tạo và phát hành một script batch Windows dài 2 dòng để làm cho hệ thống trông như đã cài bàn phím tiếng Nga
  • Script này có thể mang lại hiệu quả tránh lây nhiễm mà không cần tải thư viện tiếng Nga thực sự
  • Theo cách truyền thống, cũng có thể thêm ngôn ngữ bàn phím đơn giản qua 'Cài đặt → Thời gian và ngôn ngữ → Thêm ngôn ngữ'
  • Nếu lỡ thay đổi cài đặt ngôn ngữ khiến menu hiển thị bằng tiếng Nga, có thể chuyển ngôn ngữ bằng tổ hợp Windows+Spacebar

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-06-30
Ý kiến trên Hacker News

  • Ý là nếu làm cho máy tính của mình trông giống một sandbox phân tích mã độc thì phần lớn mã độc sẽ tự thoát để né bị phân tích, nhưng chuyện này có cảm giác như trò mèo vờn chuột

    • Có ý kiến cho rằng ngày nay đa số Windows Server chạy trong môi trường ảo hóa nên cách này có thể không còn hiệu quả như trước, dù kẻ tấn công vẫn có thể cân nhắc thêm các chỉ dấu khác
    • Một đề xuất đùa là chèn chuỗi VirtualBox vào firmware
    • Có người nói nội dung này từng được nhắc tới trong một bài Hacker News khác trước đây, ở liên kết này
    • Đùa rằng giờ có lẽ phải cài Ghidra trên mọi workstation
    • Có phản biện với nhận định “nếu ngụy trang máy tính thành sandbox thì nhiều mã độc sẽ tự thoát để tránh bị phân tích”, cho rằng đây là một mối lo hoàn toàn khác. Điểm được nhấn mạnh là nếu bộ gõ tiếng Nga được cài đặt, mã độc sẽ dừng lại để tránh rủi ro pháp lý

  • Có ý kiến cho rằng có rất nhiều bằng chứng cho thấy cách này, tức phát hiện bàn phím tiếng Nga, thực sự hiệu quả với các nhóm như Petya, Fancy Bear, Cozy Bear, Conti; lý do lớn là chính phủ Nga bảo đảm miễn truy cứu miễn là chúng không nhắm vào công dân nước mình
    Cũng có câu chuyện rằng nếu nói cho kẻ tấn công biết mình là người Nga hoặc nói chuyện với chúng bằng tiếng Nga thì đôi khi hệ thống còn được giải mã miễn phí

    • Có bình luận bày tỏ tò mò việc “miễn phí giải mã nếu chứng minh là người Nga” sẽ vận hành ra sao trong thời đại dịch AI, đồng thời nhớ lại chuyện trước đây các nhà phát triển shareware Nga từng cấp license miễn phí cho người Nga
    • Nhấn mạnh rằng các nhóm hacker Nga hiểu rất rõ và ai cũng ngầm hiểu chính sách “đừng làm bậy trong nhà mình” (don't piss inside the tent)
    • Có người chỉ ra thực tế có thể không đơn giản như vậy: người Nga ở khắp nơi và có thể làm việc trong công ty bị hại, nhưng nếu số tiền chuộc lên tới hàng triệu USD thì chỉ nói mình là người Nga chưa chắc được thả; có lẽ phải thuyết phục được rằng tài sản thật sự thuộc sở hữu Nga hoặc đưa ra “bằng chứng” kiểu như “bố tôi làm ở FSB”

  • Một người Nga chia sẻ trải nghiệm trực tiếp thời cuối thập niên 2000 khi đi xóa winlocker khỏi máy tính của những người bạn không rành công nghệ; loại mã độc này không chỉ mã hóa tệp mà còn hiện cửa sổ không thể đóng và đòi tiền, kèm những câu buồn cười như “cảm ơn vì widget truy cập nhanh website người lớn”, như một kỷ niệm khá thú vị

  • Có người nói nghe có vẻ đương nhiên là cũng sẽ có mã độc chuyên nhắm tới các hệ thống đã kích hoạt bàn phím Cyrillic, ngụ ý việc có môi trường tiếng Nga cũng là một tín hiệu để kẻ tấn công kiểm tra

  • Chia sẻ một mẹo rằng cách chống mã độc tốt nhất trên Windows là dùng tài khoản mặc định hằng ngày dưới quyền người dùng thường thay vì quyền quản trị viên Đồng thời nên tạo riêng một tài khoản quản trị cục bộ và dùng mật khẩu khác; khi cần cài phần mềm hay chạy powershell và các tác vụ quản trị khác thì phải xác thực bằng tài khoản quản trị riêng, nên nếu thấy popup xin quyền đáng ngờ thì đó là dấu hiệu có gì đó không ổn Tài khoản thường có thể dùng mật khẩu bình thường, miễn không quá ngắn, còn tài khoản quản trị có thể dùng mật khẩu phức tạp; đặc biệt khuyến nghị cách này cho người thân không rành IT

    • Có người phản bác rằng ngay cả không có quyền quản trị, mã độc vẫn làm được rất nhiều việc; truy cập hệ thống tệp mà người dùng có quyền hay kết nối Internet hầu như không bị hạn chế, nên kiểu tách quyền này không ngăn được rò rỉ dữ liệu, ransomware hay phá hoại dữ liệu
    • Có người nói đồng ý với giai đoạn đầu những năm 2000 đến 2012, nhưng từ sau Vista mã độc đã tiến hóa để thích nghi với UAC và vẫn hoạt động tốt với tài khoản thường, nên việc không có quyền quản trị không thực sự giúp bảo vệ dữ liệu; người này chia sẻ ví dụ tách các tác vụ nhạy cảm nhất, chủ yếu là tài chính, sang một máy vật lý riêng hoặc thử cô lập dữ liệu bằng tách tài khoản người dùng trên Windows, và bày tỏ mong muốn dùng một hệ điều hành cô lập mạnh như Qubes OS nhưng chưa học được
    • Tóm lại, phần mô tả của người dùng rốt cuộc cũng chính là cách User Account Control (UAC) đã mặc định áp dụng từ thời Windows Vista
    • Có ý kiến rằng các vụ tấn công ransomware của tội phạm có tổ chức chủ yếu nhắm vào doanh nghiệp hơn là cá nhân, nên ransomware thường được thấy nhiều hơn trong môi trường công ty. Lấy Petya làm ví dụ, có nhắc đến các kịch bản mà chỉ với quyền người dùng thường vẫn có thể nội bộ chiếm đoạt các phiên quản trị trên mạng hoặc giành quyền domain admin; ngay cả không có quyền quản trị cũng vẫn có thể xóa hoặc mã hóa dữ liệu, che giấu mã độc, và mã độc đi kèm phần mềm dạng bundle cũng có thể được chính người dùng tự cài đặt
    • Kèm liên kết truyện tranh xkcd 1200, có ý rằng trên máy tính dùng chung bởi nhiều người thì tách tài khoản có ý nghĩa, nhưng với đa số trường hợp chỉ có một người dùng thì hiệu quả thực tế của việc tách quyền quản trị khá hạn chế; kết luận là trong thực tế, trên PC cá nhân việc tách quyền quản trị không giúp nhiều trong việc ngăn bị hack

  • Có người thắc mắc liệu sau khi Brian Krebs công bố chuyện này vào năm 2021 thì cách đó đến giờ vẫn còn hiệu quả hay không

    • Có ý kiến cho rằng Nga và Triều Tiên xem ransomware là một hoạt động kinh tế hợp pháp và sẽ tiếp tục như một phần của chiến lược chiến tranh lai
    • Có giải thích rằng về bản chất đây là vấn đề pháp lý và thực thi pháp luật, nên tồn tại một luật bất thành văn là không động vào chính phủ Nga thì hai bên sẽ không động vào nhau; đồng thời nhấn mạnh rằng so với Nga, Mỹ là thị trường bị nhắm tới để cướp bóc nhiều hơn rất nhiều. Người này dẫn thống kê FBI cho biết riêng lừa đảo email doanh nghiệp (BEC) tại Mỹ trong năm 2024 đã gây thiệt hại 2,7 tỷ USD, và chia sẻ một vụ việc do mình phụ trách trong đó một tác nhân đe dọa Trung Quốc giả làm nhân viên để được tuyển vào một công ty Mỹ rồi trục lợi các khoản giảm giá nội bộ dành cho nhân viên trị giá hàng chục nghìn USD, gây thiệt hại 1 triệu USD
    • Đính kèm liên kết Báo cáo tội phạm Internet 2024 của FBI

  • Một câu ngắn rằng ngay cái tiêu đề thôi cũng đã buồn cười, hàm ý giả định rằng phần lớn ransomware đều xuất phát từ Nga nghe rất tự nhiên

  • Có người nghĩ rằng nếu có bàn phím tiếng Nga thì có khi còn hấp dẫn hơn với mã độc của NSA

    • Một mẩu trivia cho biết Nga, Trung Quốc v.v. cấm Windows trong các cơ quan chính phủ và quân sự nhạy cảm, thay vào đó dùng các bản phân phối Linux tự phát triển

  • Một tin nhắn ngắn chỉ ghi “2021”

    • Có người thắc mắc liệu Ukraine có bị loại khỏi diện ngoại lệ hay chưa, đồng thời lưu ý rằng bố cục bàn phím của nước này khác với Nga

  • Có người tò mò liệu ngoài bố cục bàn phím, khi thời gian thay đổi thì mã độc có kiểm tra thêm múi giờ hay nhiều thông tin khác không