Nhiều ransomware ngừng chạy nếu máy có cài bàn phím tiếng Nga (2021)
(krebsonsecurity.com)- Nhiều biến thể ransomware có cơ chế an toàn khiến quá trình cài đặt dừng lại nếu Windows đã cài bàn phím tiếng Nga hoặc tiếng Ukraina; đây là điều kiện né tránh thường thấy trong mã độc xuất phát từ Đông Âu
- Các dịch vụ ransomware như DarkSide đặt ra các khu vực cấm lây nhiễm để không tạo nạn nhân ở Nga, Ukraina và các nước Đông Âu khác, nhằm tránh sự chú ý của cơ quan điều tra địa phương
- Sau vụ tấn công Colonial Pipeline, DarkSide tuyên bố mình “phi chính trị”, nhưng bản thân các điều kiện vận hành theo khu vực của mã độc phản ánh những ràng buộc địa chính trị
- Việc thêm bàn phím tiếng Nga hoặc các giá trị registry liên quan có thể là một biện pháp phòng ngừa miễn phí trước một số mã độc gốc Nga, nhưng không thể thay thế phòng thủ theo chiều sâu và thói quen sử dụng an toàn
- Dù kẻ tấn công có thể loại bỏ bước kiểm tra ngôn ngữ, Allison Nixon của Unit221B cho rằng khi đó hacker Nga sẽ phải lựa chọn giữa mất sự bảo vệ pháp lý và mất doanh thu
Những ngôn ngữ và khu vực mà ransomware né tránh
- Nhiều biến thể ransomware kiểm tra xem hệ thống Microsoft Windows có cài một bàn phím ảo cụ thể hay không, và sẽ dừng cài đặt nếu phát hiện các ngôn ngữ như tiếng Nga hoặc tiếng Ukraina
- Người vận hành mã độc đưa vào các cơ chế an toàn khi lỗi như vậy để tránh có nạn nhân trong khu vực của chính họ
- Khu vực Cộng đồng các Quốc gia Độc lập (CIS) phần lớn trùng với danh sách loại trừ lây nhiễm của nhiều mã độc xuất phát từ Đông Âu
- DarkSide cũng có danh sách cấm cài đặt được hard-code gồm các quốc gia tương ứng với những thành viên chính của CIS, và Cybereason đã công bố danh sách đó
Colonial Pipeline và trường hợp DarkSide
- Cuộc thảo luận này liên quan đến vụ tấn công ransomware Colonial Pipeline
- Vụ tấn công đã khiến đường ống nhiên liệu dài 5.500 dặm gần như phải dừng hoạt động trong gần một tuần vào đầu tháng này
- Dẫn đến thiếu nguồn cung tại các trạm xăng trên khắp nước Mỹ và giá tăng
- FBI cho biết chủ thể tấn công là DarkSide
- DarkSide là một tổ chức vận hành tương đối mới theo mô hình ransomware-as-a-service, tuyên bố chỉ nhắm vào các doanh nghiệp lớn
- DarkSide và các chương trình chia sẻ doanh thu liên kết nói tiếng Nga khác từ lâu đã ngăn việc cài mã độc lên máy tính ở nhiều quốc gia Đông Âu, bao gồm Nga và Ukraina
Vì sao có né tránh theo khu vực
- Ở Nga, người ta thường cho rằng nếu doanh nghiệp hoặc cá nhân trong nước không chính thức trình báo là nạn nhân, nhà chức trách thường sẽ không mở điều tra tội phạm mạng nhằm vào công dân của mình
- Với tội phạm, cách dễ nhất để tránh lọt vào radar của cơ quan điều tra trong nước là không tạo ra nạn nhân ở chính quốc gia của mình
- DarkSide cố gắng tách mình khỏi vụ tấn công Colonial Pipeline sau khi bị nhắc đến trong sắc lệnh hành pháp về an ninh mạng của Tổng thống Biden
- Trên blog công khai nạn nhân, nhóm này nói rằng họ “phi chính trị”
- Họ tuyên bố mục tiêu là kiếm tiền, không phải gây vấn đề cho xã hội
- Họ cho biết từ nay sẽ xem xét các công ty mà đối tác định mã hóa để tránh hậu quả xã hội
- Tuy nhiên, các tổ chức tống tiền số như DarkSide thiết kế mã độc chỉ hoạt động ở một số khu vực nhất định, nên bản thân nền tảng đã phản ánh điều kiện chính trị theo khu vực
REvil, GandCrab và danh sách loại trừ lây nhiễm
- Các chuyên gia bảo mật đã chỉ ra mối liên hệ giữa DarkSide và REvil, tức Sodinokibi
- REvil trước đây được biết đến với tên GandCrab, và cả GandCrab lẫn REvil đều cấm đối tác liên kết lây nhiễm nạn nhân Syria
- Syria cũng nằm trong danh sách loại trừ của DarkSide
- Sau đó DarkSide tuyên bố máy chủ và tiền bitcoin của mình đã bị tịch thu và thông báo ngừng hoạt động, trong quá trình này mối liên hệ với REvil đã lộ ra
Giới hạn của việc cài bàn phím tiếng Nga
- Cài một ngôn ngữ như tiếng Nga không khiến máy tính Windows an toàn trước mọi mã độc
- Có rất nhiều mã độc không quan tâm đến vị trí hay ngôn ngữ
- Phương pháp này không thể thay thế phòng thủ theo chiều sâu và thói quen tránh hành vi nguy hiểm trên mạng
- Nhược điểm không lớn, nhưng bạn có thể vô tình chuyển thiết lập ngôn ngữ khiến menu hiển thị bằng tiếng Nga
- Trong trường hợp này, nhấn đồng thời phím Windows và phím cách để chuyển nhanh giữa các ngôn ngữ đã cài
Kẻ tấn công có thể thay đổi bước kiểm tra ngôn ngữ không
- Kẻ tấn công phản ứng rất nhạy với các biện pháp phòng vệ làm giảm lợi nhuận, và có thể sửa mã độc để bỏ qua kiểm tra ngôn ngữ
- Trên thực tế, phiên bản DarkSide gần đây mà Mandiant phân tích không thực hiện kiểm tra ngôn ngữ hệ thống
- Allison Nixon của Unit221B cho rằng việc loại bỏ kiểm tra ngôn ngữ sẽ làm tăng rủi ro không thể xem nhẹ đối với an toàn cá nhân và tài sản của kẻ tấn công
- Theo Nixon, do văn hóa pháp lý đặc thù của Nga, hacker Nga dùng các bước kiểm tra như vậy để chỉ tấn công nạn nhân bên ngoài nước mình
- Chỉ cần cài bàn phím chữ Cyrillic hoặc đổi một số mục registry nhất định thành
RUcũng có thể khiến một số mã độc xem người dùng là người Nga và loại họ khỏi danh sách mục tiêu
Áp lực có thể tạo ra khi áp dụng ở quy mô lớn
- Nixon cho rằng nếu nhiều người dùng phương pháp này, về ngắn hạn nó có thể bảo vệ một số người dùng
- Về dài hạn, hacker Nga sẽ phải chấp nhận một trong hai rủi ro: mất sự bảo vệ pháp lý hoặc mất doanh thu
- Hacker Nga cũng sẽ gặp vấn đề tương tự các bên phòng thủ phương Tây: khó phân biệt giữa máy tính nội địa thật và máy tính ở nước ngoài giả vờ là máy tính nội địa
Né phát hiện VM và cách dùng registry
- Một số độc giả cũng đề xuất thêm các mục vào Windows registry để máy trông giống như máy ảo (VM)
- Lance James của Unit221B cho rằng việc có phải VM hay không không còn ngăn được mã độc tốt như trước
- Vì nhiều tổ chức đã dùng môi trường ảo cho công việc hằng ngày
- Nhiều ransomware đang được quan sát hiện nay vẫn chạy trong VM
- James ủng hộ ý tưởng thêm ngôn ngữ thuộc danh sách các nước CIS, và đã tạo một script batch hai dòng khiến Windows PC trông như đã cài bàn phím tiếng Nga
- Script này thêm tham chiếu tiếng Nga vào các khóa Windows registry cụ thể mà mã độc kiểm tra, mà không cần tải thêm thư viện script nào từ Microsoft
Cách thêm ngôn ngữ trên Windows 10
- Để tự cài một ngôn ngữ bàn phím khác trên Windows 10, nhấn phím Windows và X rồi chọn Settings
- Tiếp theo chọn “Time and Language”, rồi trong menu Language chọn tùy chọn cài đặt một bộ ký tự khác
- Ngôn ngữ sẽ được cài ở lần khởi động lại tiếp theo
- Khi cần chuyển ngôn ngữ, dùng tổ hợp Windows+Spacebar
1 bình luận
Ý kiến trên Hacker News
Nếu làm cho máy trông giống như sandbox chạy mã độc, nhiều mã độc sẽ tự thoát để tránh bị phân tích
Những thứ như vậy rốt cuộc cũng là một phần của trò mèo vờn chuột
Mã độc Windows đã trở nên khá tinh vi trong 30 năm qua
Tuy vậy vẫn có thể xem các chỉ dấu khác
Có bằng chứng rằng cách này đã hiệu quả với ransomware như Petya hoặc các nhóm như Fancy Bear, Cozy Bear, Conti
Nói chung là vì chính phủ Nga mặc nhiên bảo đảm miễn trách nhiệm nếu mục tiêu không phải là Nga
Ngoài ra, nếu bạn nói mình là người Nga hoặc viết bằng tiếng Nga trong chat/email, đôi khi họ còn giải mã hệ thống miễn phí cho bạn
Không hoàn toàn giống vậy, nhưng tôi nhớ từng có một nhà phát triển shareware người Nga cấp license miễn phí cho người Nga
Người Nga có ở khắp nơi và cũng có thể làm việc trong công ty nạn nhân, nên nếu tiền chuộc lên tới hàng triệu đô la thì chỉ nói mình là người Nga chắc là chưa đủ
Có lẽ phải thuyết phục kiểu công ty thuộc sở hữu của người Nga, hoặc cha mình làm ở FSB, đại loại vậy
Chính sách đừng tè trong lều được gần như mọi nhóm Nga hiểu rất rõ
Người nước ngoài thì không gây vấn đề theo nghĩa đó
Tôi không nghĩ có kiểu miễn trách nhiệm đặc biệt nào
Tuy vậy người nước ngoài đôi khi cũng có thể gây rắc rối
Gần đây, sau một cuộc điều tra bắt đầu từ tố cáo của Joe Biden, nhiều chuyên gia mạng đã bị kết án
Với tư cách một người Nga từng gỡ rất nhiều winlocker khỏi máy tính của bạn học không rành công nghệ vào cuối những năm 2000, tôi khó mà đồng ý :D
Tuy nhiên những thứ đó có lẽ kém tinh vi hơn
Chúng không mã hóa file, mà hiện một cửa sổ không thể đóng và đòi thanh toán
Thỉnh thoảng còn có những câu buồn cười như “Cảm ơn bạn đã cài đặt widget truy cập nhanh trang người lớn”
Nếu không có mã độc nào chỉ nhắm vào hệ thống bật bàn phím chữ Cyrillic thì tôi mới thấy ngạc nhiên
Xin đừng tấn công người Bulgaria nhé :)
Trên bất kỳ phiên bản Windows nào, cách phòng vệ mã độc tốt nhất từng là biến tài khoản mặc định dùng hằng ngày thành tài khoản không phải quản trị viên
Cũng cần tạo một tài khoản quản trị viên đầy đủ riêng, tài khoản cục bộ cũng được
Mật khẩu nhất thiết phải khác nhau
Mỗi khi cần cài thứ gì đó hoặc chạy PowerShell/CMD với quyền quản trị, một popup sẽ hiện lên yêu cầu đăng nhập riêng bằng tài khoản quản trị
Về cơ bản cách này giống cơ chế sudo của Linux, và cũng là cách các bộ phận IT chuyên nghiệp vận hành Windows
Nếu popup nâng quyền quản trị hiện lên dù bạn không chủ động gây ra, bạn sẽ biết có gì đó không ổn, và phần lớn mã độc sẽ không cài được
Ngoài ra, với tài khoản thường có thể dùng mật khẩu tương đối bình thường nhưng không quá ngắn, còn đăng nhập quản trị thì dùng mật khẩu phức tạp hơn nhiều
Cách này đặc biệt tốt cho những người có nguy cơ bấm nhầm cao, kiểu “PC của bà”
Dù chạy dưới quyền người dùng không đặc quyền, nó vẫn có thể làm bất cứ thứ gì với hệ thống file mà người dùng đó truy cập được, và trong hầu hết cấu hình thông thường, kết nối Internet ra ngoài cũng không bị hạn chế
Nói cách khác, kiểu phân tách quyền này không ngăn được rò rỉ dữ liệu, ransomware nhắm vào các file quan trọng của người dùng, hay phá hoại đơn giản
Sau Vista, mã độc đã thích nghi với UAC, và giờ mọi mã độc đều hoạt động tốt ngay cả với quyền người dùng thường
Dữ liệu mà người dùng thường truy cập được, dù cục bộ hay trên máy chủ CIFS từ xa, đều trở thành mục tiêu của ransomware
Hạn chế quyền quản trị không ngăn mã độc truy cập dữ liệu
Việc duy trì tồn tại cũng đã chuyển sang các cách theo từng người dùng, không cần quyền quản trị
Tất cả những loại Chromium tùy biến gần như độc hại mà người dùng cài khi cố lách bộ phận IT để tìm phần mềm cũng hoạt động theo cách đó
Dù vậy tôi vẫn nghĩ không nên cấp quyền quản trị cho người dùng Windows dùng hằng ngày
Chỉ là điều đó không giúp được nhiều trước mã độc
Với các hoạt động nhạy cảm nhất, chủ yếu là ngân hàng, tôi dùng thiết bị tách biệt về mặt vật lý, nhưng đặt một đăng nhập Windows không phải quản trị riêng và phân vùng quyền truy cập dữ liệu không được để ransomware chạm tới cũng có thể đạt hiệu quả gần tương tự
Cách ly giữa các tài khoản người dùng khác nhau trên Windows thực ra khá ổn, nên chỉ cần hạn chế dữ liệu mà các tài khoản có thể cùng truy cập
Cá nhân tôi từng muốn dùng Qubes để khỏi phải dùng máy tách biệt vật lý, nhưng không có thời gian học cách dùng các thiết bị đặc thù của nó
Sửa: lẽ ra nên nói “Chromium tùy biến gần như độc hại” chứ không phải Chrome
Công ty thường trả nhiều tiền hơn để lấy lại dữ liệu, và ransomware Petya là ví dụ tốt
Dù vậy nếu kẻ xâm nhập có quyền người dùng thường trên một máy nào đó, chúng có thể chủ động tìm tài khoản quản trị trên máy đó và trong mạng, rồi đánh cắp phiên đăng nhập
Mục tiêu cuối cùng là giành quyền Domain Admin
Ngoài ra, không nhất thiết phải có quyền quản trị để xóa/mã hóa dữ liệu hoặc chạy/ẩn phần mềm
Ngoài đánh cắp phiên, còn có nhiều cách để lấy quyền quản trị như phần mềm chưa vá, quyền người dùng không phù hợp, zero-day, social engineering
Việc nhúng mã độc hoặc ransomware vào phần mềm hữu ích mà người dùng muốn cài cũng là cách phổ biến
Về câu “Biện pháp phòng ngừa đơn giản và miễn phí này có nhược điểm gì không? Theo tôi là không”, nhược điểm hiện ra ngay là chi phí hỗ trợ sẽ tăng khi người dùng vô tình đổi bàn phím
Phím tắt chuyển bàn phím thường không khó bấm nhầm, và đặc biệt là phần lớn người dùng ở Mỹ có lẽ không biết mình đã làm gì hoặc cách hoàn tác
Tôi tò mò liệu cách này có còn thực sự hiệu quả sau khi Brian Krebs công khai nó với toàn thế giới vào năm 2021 không
Nga và Triều Tiên xem ransomware là hoạt động kinh tế chính đáng
Đây là một phần trong chiến lược chiến tranh lai
Đây chủ yếu là một cân nhắc về pháp lý và thực thi
Nếu bạn tránh nhà chức trách Nga, họ cũng sẽ tránh bạn
Ngoài ra, Nga không phải là mảnh đất mục tiêu màu mỡ như Mỹ
Ở Mỹ có rất nhiều nhân viên văn phòng cấp thấp lương thấp sẵn sàng cập nhật thông tin thanh toán AP khi bị lừa bởi xâm phạm email doanh nghiệp (BEC)
Thiệt hại do BEC năm 2024 là 2,77 tỷ USD, là hạng mục sinh lợi cao nhất; tổng thiệt hại ở Mỹ là 16 tỷ USD từ 859.532 đơn trình báo
Trong một cuộc điều tra mà tôi tham gia, một tác nhân đe dọa từ Trung Quốc đã dùng kỹ thuật xã hội để khiến một công ty Mỹ tạo tài khoản nhân viên
Họ thuyết phục đến mức còn thành công trong việc chen tài khoản của mình vào quy trình phê duyệt danh tính khi tạo tài khoản nhân viên mới tại một địa điểm nhất định, như thể họ là quản trị viên
Mục đích chỉ là đánh cắp các ưu đãi giảm giá dành cho nhân viên, rồi bán lại chúng, gây thiệt hại khoảng 1 triệu USD trong vài năm
https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
Tôi tò mò làm thế nào có thể suy đoán nguồn gốc của một cuộc tấn công mạng với mức độ chắc chắn nào đó
Đôi khi người ta nói kiểu “kỹ thuật được dùng là kỹ thuật đã biết của một nhóm Nga nên chúng tôi biết đó là người Nga”, nhưng nếu một kỹ thuật chỉ ra rõ ràng một nhóm hay quốc gia cụ thể đến vậy, chẳng phải sẽ dễ bắt chước kỹ thuật đó để khiến nó trông như do họ làm sao?
Nếu một tàu chiến treo cờ Nga bắn tàu Mỹ rồi bỏ chạy mà không bị bắt, thì chỉ nhìn lá cờ mà nói “100% là Nga” nghe có vẻ ngớ ngẩn
Theo đúng nghĩa đen, đó cũng có thể là một chiến dịch cờ giả, và ngày nay động cơ chính trị để làm chuyện như vậy cũng rất lớn
Nếu có bàn phím tiếng Nga, bạn sẽ trở thành mục tiêu hấp dẫn của mã độc NSA
Họ dùng bản phân phối Linux riêng
Ngay cả với tư cách là người dùng bàn phím tiếng Nga, trước khi biết các nguyên tắc cơ bản về an ninh mạng, tôi cũng từng nhiễm virus khá nhiều
Nhìn chung tôi tò mò cách này thực sự hiệu quả rộng rãi đến mức nào, hay bài viết đã phóng đại
Việc phát tán virus thông thường trộn trong file rar thì đủ phổ quát
Ngược lại, nếu là một tổ chức hoạt động ở các nước CIS, thì việc kiểm tra cẩn thận để không trở thành mục tiêu của cơ quan an ninh nội địa là điều hợp lý
Ví dụ, nếu tạo botnet rồi cho thuê, nhóm khác có thể dùng nó gây thiệt hại thực sự lớn, nên cứ host ở nước ngoài sẽ an toàn hơn