4 คะแนน โดย GN⁺ 2025-06-30 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • แรนซัมแวร์หลายสายพันธุ์มีมาตรการนิรภัยที่หยุดการติดตั้ง หากพบว่า Windows ติดตั้ง คีย์บอร์ดภาษารัสเซียหรือยูเครน ไว้ ซึ่งเป็นเงื่อนไขการหลบเลี่ยงที่พบได้กว้างขวางในมัลแวร์จากยุโรปตะวันออก
  • Ransomware-as-a-service อย่าง DarkSide กำหนดพื้นที่ห้ามติดเชื้อเพื่อไม่ให้เกิดเหยื่อในยุโรปตะวันออก เช่น รัสเซียและยูเครน และพยายามหลีกเลี่ยงความสนใจจากหน่วยงานสืบสวนในพื้นที่
  • หลังการโจมตี Colonial Pipeline นั้น DarkSide อ้างว่า “ไม่เกี่ยวกับการเมือง” แต่เงื่อนไขการทำงานของมัลแวร์ตามภูมิภาคเองก็สะท้อน ข้อจำกัดเชิงภูมิรัฐศาสตร์
  • การเพิ่มคีย์บอร์ดภาษารัสเซียหรือค่ารีจิสทรีที่เกี่ยวข้องอาจเป็น มาตรการป้องกันฟรี ต่อมัลแวร์สายรัสเซียบางส่วนได้ แต่ไม่สามารถทดแทนการป้องกันหลายชั้นและพฤติกรรมการใช้งานที่ปลอดภัยได้
  • แม้ผู้โจมตีจะลบการตรวจสอบภาษาออกได้ แต่ Allison Nixon จาก Unit221B มองว่าในกรณีนั้นแฮกเกอร์รัสเซียจะต้องเลือกระหว่าง การสูญเสียความคุ้มครองทางกฎหมาย กับการสูญเสียรายได้

ภาษาและภูมิภาคที่แรนซัมแวร์หลีกเลี่ยง

  • แรนซัมแวร์หลายสายพันธุ์ตรวจสอบว่าระบบ Microsoft Windows มี คีย์บอร์ดเสมือน บางภาษา ติดตั้งอยู่หรือไม่ และจะหยุดการติดตั้งหากตรวจพบภาษาอย่างรัสเซียหรือยูเครน
  • ผู้ปฏิบัติการมัลแวร์ใส่ กลไก fail-safe แบบนี้เพื่อไม่ให้มีเหยื่อเกิดขึ้นในภูมิภาคของตนเอง
  • พื้นที่เครือรัฐเอกราช (CIS) โดยทั่วไปทับซ้อนกับ รายชื่อยกเว้นการติดเชื้อ ของมัลแวร์จำนวนมากที่มาจากยุโรปตะวันออก
  • DarkSide ก็มีรายชื่อประเทศที่ห้ามติดตั้งแบบ hard-coded ซึ่งเป็นประเทศสมาชิกหลักของ CIS และ Cybereason ได้เผยแพร่รายชื่อนั้นแล้ว

กรณี Colonial Pipeline และ DarkSide

  • ประเด็นนี้เชื่อมโยงกับ การโจมตีด้วยแรนซัมแวร์ต่อ Colonial Pipeline
    • การโจมตีดังกล่าวทำให้ท่อส่งเชื้อเพลิงยาว 5,500 ไมล์หยุดทำงานเกือบ 1 สัปดาห์เมื่อต้นเดือนนี้
    • นำไปสู่ภาวะขาดแคลนการจัดส่งให้สถานีบริการน้ำมันทั่วสหรัฐฯ และราคาที่สูงขึ้น
    • FBI ระบุว่าผู้ก่อเหตุคือ DarkSide
  • DarkSide เป็นผู้ปฏิบัติการรูปแบบ ransomware-as-a-service ที่ค่อนข้างใหม่ ซึ่งกล่าวว่ามุ่งโจมตีเฉพาะองค์กรขนาดใหญ่เท่านั้น
  • DarkSide และโปรแกรมแบ่งรายได้ของกลุ่มที่ใช้ภาษารัสเซียอื่น ๆ ได้ห้ามไม่ให้ติดตั้งมัลแวร์บนคอมพิวเตอร์ในหลายประเทศยุโรปตะวันออก รวมถึงรัสเซียและยูเครน มานานแล้ว

เหตุผลที่ใช้การหลบเลี่ยงตามภูมิภาค

  • เป็นที่ทราบกันโดยทั่วไปว่าในรัสเซีย หากบริษัทหรือบุคคลภายในประเทศไม่ยื่นแจ้งความเสียหายอย่างเป็นทางการ ทางการมักจะไม่เริ่มสืบสวนอาชญากรรมไซเบอร์ต่อพลเมืองของตนเอง
  • สำหรับอาชญากร การทำให้ไม่มีเหยื่อในประเทศของตนเองเป็นวิธีที่ง่ายที่สุดในการหลุดพ้นจากเรดาร์ของ หน่วยงานสืบสวนภายในประเทศ
  • DarkSide พยายามตีตัวออกห่างจากการโจมตี Colonial Pipeline หลังถูกกล่าวถึงในคำสั่งฝ่ายบริหารด้านความมั่นคงไซเบอร์ของประธานาธิบดี Biden
    • ระบุในบล็อกเผยแพร่เหยื่อของตนว่า พวกเขา “ไม่เกี่ยวกับการเมือง”
    • อ้างว่าเป้าหมายคือการหาเงิน ไม่ใช่การสร้างปัญหาให้สังคม
    • ระบุว่าต่อไปจะตรวจสอบบริษัทที่พาร์ตเนอร์ตั้งใจจะเข้ารหัส เพื่อหลีกเลี่ยงผลกระทบทางสังคม
  • อย่างไรก็ตาม องค์กรรีดไถดิจิทัลอย่าง DarkSide ถูกออกแบบให้มัลแวร์ทำงานเฉพาะในบางภูมิภาค แพลตฟอร์มเองจึงสะท้อน เงื่อนไขทางการเมืองตามภูมิภาค

REvil, GandCrab และรายชื่อยกเว้นการติดเชื้อ

  • ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นความเชื่อมโยงระหว่าง DarkSide กับ REvil หรือ Sodinokibi
  • REvil เคยเป็นที่รู้จักในชื่อ GandCrab และทั้ง GandCrab กับ REvil ต่างก็ห้ามพันธมิตรทำให้ เหยื่อชาวซีเรีย ติดเชื้อ
  • รายชื่อยกเว้นของ DarkSide ก็มีซีเรียรวมอยู่ด้วย
  • ต่อมา DarkSide ประกาศยุติการดำเนินงาน โดยระบุว่าเซิร์ฟเวอร์และเงินบิตคอยน์ถูกยึด และในกระบวนการนี้ก็เผยให้เห็นความเชื่อมโยงกับ REvil

ข้อจำกัดของการติดตั้งคีย์บอร์ดภาษารัสเซีย

  • การติดตั้งภาษาอย่างรัสเซียไม่ได้ทำให้คอมพิวเตอร์ Windows ปลอดภัยจากมัลแวร์ทั้งหมด
  • ยังมี มัลแวร์ จำนวนมากที่ไม่สนใจตำแหน่งหรือภาษา
  • วิธีนี้ไม่สามารถทดแทนการป้องกันหลายชั้นและนิสัยการหลีกเลี่ยงพฤติกรรมเสี่ยงบนออนไลน์ได้
  • ข้อเสียไม่ได้มากนัก แต่ผู้ใช้อาจเผลอสลับการตั้งค่าภาษา จนเห็นเมนูเป็นภาษารัสเซียได้
    • ในกรณีนี้ การกดปุ่ม Windows และ Spacebar พร้อมกันจะช่วยสลับระหว่างภาษาที่ติดตั้งไว้ได้อย่างรวดเร็ว

ผู้โจมตีสามารถเปลี่ยนการตรวจสอบภาษาได้หรือไม่

  • ผู้โจมตีตอบสนองไวต่อมาตรการป้องกันที่ลดความสามารถในการทำกำไร และสามารถแก้มัลแวร์ให้ไม่สนใจการตรวจสอบภาษาได้
  • ในความเป็นจริง DarkSide เวอร์ชันล่าสุดที่ Mandiant วิเคราะห์ไม่ได้ทำ การตรวจสอบภาษาของระบบ
  • Allison Nixon จาก Unit221B มองว่าหากลบการตรวจสอบภาษาออก ความเสี่ยงต่อความปลอดภัยส่วนบุคคลและทรัพย์สินของผู้โจมตีจะเพิ่มขึ้นจนไม่อาจมองข้ามได้
  • ตามคำกล่าวของ Nixon แฮกเกอร์รัสเซียใช้ขั้นตอนตรวจสอบเหล่านี้เพื่อโจมตีเฉพาะเหยื่อนอกประเทศของตนเอง เพราะวัฒนธรรมทางกฎหมายอันเป็นเอกลักษณ์ของรัสเซีย
  • เพียงติดตั้งคีย์บอร์ดอักษรซีริลลิก หรือเปลี่ยนรายการรีจิสทรีบางรายการเป็น RU ก็อาจทำให้มัลแวร์บางตัวมองผู้ใช้ว่าเป็นชาวรัสเซียและตัดออกจากเป้าหมายการโจมตีได้

แรงกดดันที่อาจเกิดจากการนำไปใช้ในวงกว้าง

  • Nixon มองว่าหากมีคนจำนวนมากใช้วิธีนี้ อาจช่วยปกป้องผู้ใช้บางส่วนได้ในระยะสั้น
  • ในระยะยาว แฮกเกอร์รัสเซียจะต้องยอมรับความเสี่ยงอย่างใดอย่างหนึ่ง ระหว่าง ความเสี่ยงที่จะสูญเสียความคุ้มครองทางกฎหมาย กับความเสี่ยงที่จะสูญเสียรายได้
  • แฮกเกอร์รัสเซียก็จะแยกแยะคอมพิวเตอร์ในประเทศจริง ๆ กับคอมพิวเตอร์ต่างประเทศที่ปลอมตัวให้เหมือนคอมพิวเตอร์ในประเทศได้ยากขึ้น คล้ายกับปัญหาที่ฝ่ายป้องกันในตะวันตกเผชิญ

การหลบเลี่ยงการตรวจจับ VM และวิธีใช้รีจิสทรี

  • ผู้อ่านบางคนเสนอวิธีเพิ่มรายการใน Windows Registry ให้ดูเหมือนเครื่องเสมือน (VM) ด้วย
  • Lance James จาก Unit221B มองว่าสถานะการเป็น VM ไม่ได้ช่วยหยุดมัลแวร์ได้ดีเท่าในอดีต
    • เพราะหลายองค์กรเริ่มใช้ สภาพแวดล้อมเสมือน ในงานประจำวัน
    • แรนซัมแวร์จำนวนมากที่พบในปัจจุบันทำงานบน VM ได้เช่นกัน
  • James สนับสนุนแนวคิดการเพิ่มภาษาจากรายชื่อประเทศ CIS และได้สร้าง สคริปต์แบตช์สองบรรทัด ที่ทำให้ Windows PC ดูเหมือนติดตั้งคีย์บอร์ดภาษารัสเซียไว้
  • สคริปต์นี้เพิ่ม การอ้างอิงภาษารัสเซีย ลงในคีย์ Windows Registry เฉพาะที่มัลแวร์ตรวจสอบ โดยไม่ต้องดาวน์โหลดไลบรารีสคริปต์เพิ่มเติมจาก Microsoft

วิธีเพิ่มภาษาใน Windows 10

  • หากต้องการติดตั้งภาษาคีย์บอร์ดอื่นโดยตรงใน Windows 10 ให้กดปุ่ม Windows กับ X แล้วเลือก Settings
  • จากนั้นเลือก “Time and Language” และในเมนู Language ให้เลือกตัวเลือกสำหรับติดตั้งชุดอักขระอื่น
  • ภาษาจะถูกติดตั้งในการรีบูตครั้งถัดไป
  • เมื่อต้องการสลับภาษา ให้ใช้คีย์ลัด Windows+Spacebar

1 ความคิดเห็น

 
GN⁺ 2025-06-30
ความคิดเห็นจาก Hacker News
  • ถ้าทำให้เครื่องดูเหมือนเป็น แซนด์บ็อกซ์สำหรับรันมัลแวร์ มัลแวร์จำนวนมากจะปิดตัวเองเพื่อเลี่ยงการถูกวิเคราะห์
    สุดท้ายเรื่องแบบนี้ก็เป็นส่วนหนึ่งของเกมแมวจับหนู

    • มัลแวร์ที่ซับซ้อนจะตรวจสอบ จำนวนคอร์ CPU ของพีซี ความจุฮาร์ดดิสก์ และบางตัวถึงขั้นดูอุณหภูมิฮาร์ดแวร์หรือว่ามีดีบักเกอร์อยู่หรือไม่
      มัลแวร์บน Windows พัฒนาจนค่อนข้างซับซ้อนมาตลอด 30 ปีที่ผ่านมา
    • ทุกวันนี้ Windows Server ส่วนใหญ่ถูกทำเป็น virtualized กันแล้ว เลยไม่แน่ใจว่าวิธีนี้ยังใช้ได้อยู่ไหม
      แต่ก็อาจดูตัวชี้วัดอื่นได้
    • ใส่ สตริง VirtualBox ไว้ในเฟิร์มแวร์ก็พอ :)
    • เรื่องนี้ก็มีในโพสต์หน้าแรกอีกอันด้วย และการส่งลิงก์นี้ก็น่าจะมาจากตรงนั้น: https://news.ycombinator.com/item?id=44413185
  • มีหลักฐานว่าวิธีนี้ใช้ได้กับแรนซัมแวร์อย่าง Petya หรือกลุ่มอย่าง Fancy Bear, Cozy Bear, Conti
    โดยทั่วไปเป็นเพราะรัฐบาลรัสเซียรับประกันความคุ้มกันอย่างไม่เป็นทางการ หากเป้าหมายไม่ใช่รัสเซีย
    นอกจากนี้ ถ้าบอกว่าตัวเองเป็นคนรัสเซีย หรือเขียนในแชต/อีเมลเป็นภาษารัสเซีย พวกเขาก็อาจถอดรหัสระบบให้ฟรี

    • สงสัยว่าในยุคแปลภาษาด้วย AI เรื่องนี้จะทำงานอย่างไร
      ไม่ใช่เรื่องเดียวกันเสียทีเดียว แต่จำได้ว่าเคยมีนักพัฒนาแชร์แวร์ชาวรัสเซียที่ให้ไลเซนส์ฟรีแก่คนรัสเซีย
    • ผมว่าไม่ได้ง่ายขนาดนั้น
      คนรัสเซียมีอยู่ทุกที่ และอาจทำงานอยู่ในบริษัทที่ตกเป็นเหยื่อด้วย ดังนั้นถ้าค่าไถ่เป็นเงินหลายล้านดอลลาร์ แค่เป็นคนรัสเซียคงไม่พอ
      คงต้องทำให้เชื่อได้ในทำนองว่าบริษัทมีเจ้าของเป็นรัสเซีย หรือพ่อทำงานให้ FSB อะไรแบบนั้น
    • ตรงนี้จับประเด็นสำคัญได้แล้ว
      นโยบาย อย่าฉี่ในเต็นท์ตัวเอง เป็นสิ่งที่กลุ่มรัสเซียแทบทุกกลุ่มเข้าใจดี
    • ผมคิดว่าเหตุผลที่ไม่อยากโจมตีคนรัสเซียคือถ้าเหยื่อแจ้งตำรวจ ตำรวจก็จำเป็นต้องเริ่มสืบสวน
      ชาวต่างชาติไม่สร้างปัญหาในแง่นั้น
      ผมไม่คิดว่ามีความคุ้มกันพิเศษอะไร
      แต่ชาวต่างชาติก็อาจสร้างปัญหาได้เป็นครั้งคราว
      เมื่อไม่นานมานี้ มีผู้เชี่ยวชาญไซเบอร์หลายคนถูกตัดสินว่ามีความผิด หลังการสืบสวนที่เริ่มจากการแจ้งความของ Joe Biden
  • ในฐานะคนรัสเซียที่เคยลบ winlocker ออกจากคอมพิวเตอร์ของเพื่อนร่วมโรงเรียนที่ไม่ค่อยถนัดเทคโนโลยีอยู่บ่อย ๆ ช่วงปลายยุค 2000 ผมเห็นด้วยยาก :D
    แต่ของพวกนั้นน่าจะซับซ้อนน้อยกว่า
    มันไม่ได้เข้ารหัสไฟล์ แค่เด้งหน้าต่างที่ปิดไม่ได้ขึ้นมาแล้วเรียกให้จ่ายเงิน
    บางทีก็มีข้อความตลก ๆ อย่าง “ขอบคุณที่ติดตั้งวิดเจ็ตเข้าถึงเว็บผู้ใหญ่อย่างรวดเร็ว” ด้วย

  • ถ้าไม่มีมัลแวร์ที่มุ่งโจมตีเฉพาะระบบที่เปิด คีย์บอร์ดอักษรซีริลลิก อยู่ ผมคงแปลกใจมากกว่า

    • คีย์บอร์ดอักษรซีริลลิกมีหลายแบบ
      ได้โปรดอย่าโจมตีชาวบัลแกเรีย :)
    • แน่นอนว่าหน่วยงานอย่าง CIA ก็ต้องแยกแยะเป้าหมายของตัวเองให้ได้
  • ไม่ว่า Windows เวอร์ชันไหน การป้องกันมัลแวร์ที่ดีที่สุดคือทำให้บัญชีหลักที่ใช้ทุกวันเป็น บัญชีที่ไม่ใช่ผู้ดูแลระบบ
    ต้องสร้างบัญชีผู้ดูแลระบบเต็มรูปแบบแยกไว้อีกบัญชีด้วย และจะเป็นบัญชี local ก็ได้
    รหัสผ่านต้องใช้คนละรหัสกันอย่างเด็ดขาด
    ทุกครั้งที่ต้องติดตั้งอะไรบางอย่าง หรือรัน PowerShell/CMD ด้วยสิทธิ์ผู้ดูแลระบบ จะมีป๊อปอัปขึ้นมาให้ล็อกอินด้วยบัญชีผู้ดูแลระบบแยกต่างหาก
    โดยพื้นฐานแล้วนี่เหมือนวิธี sudo ของ Linux และยังเป็นวิธีที่แผนก IT มืออาชีพที่ดีใช้ดูแล Windows ด้วย
    ถ้ามีป๊อปอัปขอเพิ่มสิทธิ์เป็นผู้ดูแลระบบโผล่มาโดยที่คุณไม่ได้เป็นคนก่อให้เกิด ก็จะรู้ได้ว่ามีบางอย่างผิดปกติ และมัลแวร์ส่วนใหญ่จะติดตั้งไม่ได้
    อีกทั้งบัญชีทั่วไปจะใช้รหัสผ่านที่ค่อนข้างธรรมดาแต่ไม่สั้นเกินไปได้ ส่วนล็อกอินผู้ดูแลระบบก็ใช้รหัสผ่านที่ซับซ้อนกว่ามาก
    เหมาะเป็นพิเศษกับคนที่มีความเสี่ยงจะคลิกผิดสูง เช่น “พีซีของคุณยาย”

    • มัลแวร์ทำอะไรได้มากมายแม้ไม่ต้อง “ติดตั้ง”
      ต่อให้รันในฐานะผู้ใช้ที่ไม่มีสิทธิ์พิเศษ มันก็ทำอะไรกับไฟล์ซิสเต็มที่ผู้ใช้นั้นเข้าถึงได้ทั้งหมด และในการตั้งค่าทั่วไปส่วนใหญ่ ก็ยังเชื่อมต่ออินเทอร์เน็ตภายนอกได้โดยไม่ถูกจำกัด
      กล่าวคือ การแบ่งแยกสิทธิ์แบบนี้ไม่สามารถป้องกัน การรั่วไหลของข้อมูล, แรนซัมแวร์ที่เล็งไฟล์สำคัญของผู้ใช้ หรือการทำลายข้อมูลแบบง่าย ๆ ได้
    • ถ้าเป็นช่วงต้นยุค 2000 จนถึงราวปี 2012 ผมคงเห็นด้วย
      หลัง Vista มัลแวร์ปรับตัวเข้ากับ UAC แล้ว และตอนนี้มัลแวร์ทุกตัวก็ทำงานได้ดีแม้มีแค่สิทธิ์ผู้ใช้ทั่วไป
      ข้อมูลที่ผู้ใช้ทั่วไปเข้าถึงได้ ไม่ว่าจะอยู่ในเครื่องหรือบนเซิร์ฟเวอร์ CIFS ระยะไกล ล้วนเป็นเป้าหมายของแรนซัมแวร์
      การจำกัดสิทธิ์ผู้ดูแลระบบไม่ได้ขวางไม่ให้มัลแวร์เข้าถึงข้อมูล
      การคงอยู่ในระบบก็ย้ายไปใช้วิธีแบบต่อผู้ใช้และไม่ต้องเป็นผู้ดูแลระบบแล้ว
      Chromium แบบปรับแต่งเองกึ่งมัลแวร์สารพัดชนิดที่ผู้ใช้ไปหาและติดตั้งเพื่อเลี่ยงแผนก IT ก็ทำงานแบบเดียวกัน
      ถึงอย่างนั้น ผมก็ยังคิดว่าไม่ควรให้ผู้ใช้ Windows ทั่วไปมีสิทธิ์ผู้ดูแลระบบ
      เพียงแต่มันแทบไม่ช่วยอะไรกับมัลแวร์
      สำหรับกิจกรรมที่อ่อนไหวที่สุด โดยหลักคือธุรกรรมธนาคาร ผมใช้เครื่องที่แยกทางกายภาพ แต่การมีล็อกอิน Windows แยกต่างหากแบบไม่ใช่ผู้ดูแลระบบ แล้วแบ่งเขตการเข้าถึงข้อมูลที่ไม่ควรโดนแรนซัมแวร์ ก็ให้ผลใกล้เคียงกันได้
      การแยกกั้นระหว่างบัญชีผู้ใช้ต่าง ๆ ใน Windows จริง ๆ แล้วค่อนข้างดี ดังนั้นแค่จำกัดข้อมูลที่บัญชีเหล่านั้นเข้าถึงร่วมกันได้ก็พอ
      ส่วนตัวเคยอยากใช้ Qubes เพื่อเลิกใช้เครื่องที่แยกทางกายภาพ แต่ไม่มีเวลาศึกษากลไกเฉพาะตัวของมัน
      แก้ไข: ควรพูดว่า “Chromium แบบปรับแต่งเองกึ่งมัลแวร์” ไม่ใช่ Chrome
    • ที่เพิ่งอธิบายมาฟังดูเหมือนสิ่งที่ User Account Control (UAC) ใน Windows Vista หรือก็คือตั้งแต่ปี 2006 ทำมาตลอด
    • โดยปกติบุคคลทั่วไปไม่ใช่เป้าหมายของการโจมตีแรนซัมแวร์จากอาชญากรรมองค์กร
      บริษัทมักยอมจ่ายเงินมากกว่ามากเพื่อเอาข้อมูลกลับคืนมา และ แรนซัมแวร์ Petya ก็เป็นตัวอย่างที่ดี
      ถึงอย่างนั้น ถ้าผู้บุกรุกมีสิทธิ์ผู้ใช้ทั่วไปบนเครื่องใดเครื่องหนึ่ง ก็สามารถค้นหาบัญชีผู้ดูแลระบบในเครื่องนั้นและในเครือข่ายอย่างแข็งขัน และขโมยเซสชันได้
      เป้าหมายสุดท้ายคือการได้สิทธิ์ Domain Admin
      นอกจากนี้ การลบหรือเข้ารหัสข้อมูล หรือการรัน/ซ่อนซอฟต์แวร์ ก็ไม่จำเป็นต้องใช้สิทธิ์ผู้ดูแลระบบเสมอไป
      นอกเหนือจากการขโมยเซสชันแล้ว ยังมีวิธีได้สิทธิ์ผู้ดูแลระบบอีกมาก เช่น ซอฟต์แวร์ที่ไม่ได้แพตช์ สิทธิ์ผู้ใช้ที่ไม่เหมาะสม zero-day และ social engineering
      การพ่วงมัลแวร์หรือแรนซัมแวร์มากับซอฟต์แวร์มีประโยชน์ที่ผู้ใช้อยากติดตั้ง ก็เป็นวิธีที่พบได้ทั่วไป
    • ไม่ว่า Windows เวอร์ชันไหน การป้องกันมัลแวร์ที่ดีที่สุดคือไม่ใช้ Windows
  • เกี่ยวกับประโยค “มีข้อเสียอะไรไหมกับการใช้มาตรการป้องกันที่ง่ายและฟรีแบบนี้? ผมว่าไม่มีนะ” ข้อเสียที่นึกออกทันทีคือ ค่าใช้จ่ายด้านซัพพอร์ต จะเพิ่มขึ้น เพราะผู้ใช้อาจเผลอสลับคีย์บอร์ดโดยไม่ตั้งใจ
    ปุ่มลัดสำหรับสลับคีย์บอร์ดมักไม่ได้เผลอกดได้ยากนัก และโดยเฉพาะผู้ใช้ในสหรัฐฯ ส่วนใหญ่คงไม่รู้ว่าตัวเองทำอะไรไป หรือจะย้อนกลับอย่างไร

    • ผมไม่ใช่ผู้ใช้ Windows แต่ผู้ดูแลระบบเปิดคีย์บอร์ดนี้ไว้ แล้วปิด ปุ่มลัดสำหรับสลับ ไม่ได้หรือ?
  • สงสัยว่าหลังจาก Brian Krebs เปิดเผยเรื่องนี้ต่อคนทั่วโลกในปี 2021 แล้ว มันยังใช้ได้จริงอยู่ไหม

    • มันเป็นแบบนั้นมาตั้งแต่แรก และก็คงจะเป็นต่อไป
      รัสเซียและเกาหลีเหนือมองแรนซัมแวร์ว่าเป็น กิจกรรมทางเศรษฐกิจ ที่ชอบธรรม
      เป็นส่วนหนึ่งของยุทธศาสตร์สงครามไฮบริด
    • ใช่ แน่นอนว่าใช่
      เรื่องนี้หลัก ๆ เป็นการตัดสินใจด้านกฎหมายและการบังคับใช้
      ถ้าคุณหลีกเลี่ยงทางการรัสเซีย พวกเขาก็จะหลีกเลี่ยงคุณเช่นกัน
      อีกอย่าง รัสเซียไม่ใช่พื้นที่เป้าหมายที่อุดมสมบูรณ์เท่าสหรัฐฯ
      ในสหรัฐฯ มีพนักงานออฟฟิศระดับเริ่มต้นค่าแรงต่ำจำนวนมากที่ยินดีอัปเดตข้อมูลการชำระเงิน AP เมื่อถูกหลอกด้วย Business Email Compromise (BEC)
      ในปี 2024 ความเสียหายจาก BEC อยู่ที่ 2.77 พันล้านดอลลาร์ เป็นหมวดที่ทำเงินได้มากที่สุด และความเสียหายรวมทั้งสหรัฐฯ อยู่ที่ 16 พันล้านดอลลาร์ จากรายงาน 859,532 รายการ
      ในการสืบสวนหนึ่งที่ผมเคยร่วม ผู้ก่อภัยคุกคามจากจีนใช้วิศวกรรมสังคมให้บริษัทสหรัฐฯ สร้างบัญชีพนักงานให้
      โน้มน้าวได้แนบเนียนมากจนถึงจุดหนึ่ง พวกเขายังสามารถสอดบัญชีของตัวเองเข้าไปในกระบวนการอนุมัติเวิร์กโฟลว์ยืนยันตัวตนสำหรับการสร้างบัญชีพนักงานใหม่ของสาขาหนึ่ง ๆ ได้เหมือนเป็นผู้ดูแลระบบ
      เป้าหมายมีแค่การยักย้ายสิทธิส่วนลดที่พนักงานได้รับไปเท่านั้น แล้วนำไปขายต่อ ทำให้เกิดความเสียหายราว 1 ล้านดอลลาร์ตลอดหลายปี
      https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
  • สงสัยว่ามีวิธีใดที่จะประเมินแหล่งที่มาของการโจมตีไซเบอร์ได้อย่างมั่นใจในระดับหนึ่ง
    บางครั้งมีการพูดทำนองว่า “เทคนิคที่ใช้เป็นเทคนิคที่รู้กันของกลุ่มรัสเซีย เลยรู้ว่าเป็นคนรัสเซีย” แต่ถ้าเทคนิคนั้นชี้ไปยังกลุ่มหรือประเทศใดประเทศหนึ่งได้ชัดเจนขนาดนั้น กลับไม่น่าจะเลียนแบบเทคนิคนั้นเพื่อให้ดูเหมือนเป็นฝีมือของพวกเขาได้ง่ายหรือ?
    ถ้าเรือรบที่ติดธงรัสเซียยิงเรือสหรัฐฯ แล้วหนีไปโดยไม่ถูกจับได้ การดูแค่ธงแล้วบอกว่า “รัสเซียแน่นอน 100%” ก็ดูโง่เขลา
    มันอาจเป็น ปฏิบัติการธงปลอม ตามตัวอักษรก็ได้ และทุกวันนี้ก็มีแรงจูงใจทางการเมืองสูงมากที่จะทำเรื่องแบบนั้น

  • ถ้ามีคีย์บอร์ดภาษารัสเซีย ก็จะกลายเป็นเป้าหมายที่น่าสนใจสำหรับ มัลแวร์ของ NSA

    • รัสเซีย จีน ฯลฯ ห้ามทหารหรือเจ้าหน้าที่รัฐที่ทำงานอ่อนไหวใช้ Windows บนอุปกรณ์ของตน
      พวกเขาใช้ดิสโทร Linux ของตัวเอง
  • ในฐานะคนที่ใช้คีย์บอร์ดภาษารัสเซีย ก่อนจะรู้พื้นฐานด้านไซเบอร์ซีเคียวริตี้ ผมก็ติดไวรัสค่อนข้างเยอะเหมือนกัน
    โดยรวมแล้วสงสัยว่าวิธีนี้ใช้ได้จริงแพร่หลายแค่ไหน หรือบทความพูดเกินจริงไปหรือเปล่า

    • คิดว่าเป็นเรื่องที่เกี่ยวกับการโจมตีแบบเจาะจงเป้าหมายและแคมเปญโจมตี
      การแพร่กระจายไวรัสทั่วไปที่ปนมากับไฟล์ rar นั้นเป็นแบบเอนกประสงค์ได้พอสมควร
      ในทางกลับกัน ถ้าเป็นองค์กรที่ปฏิบัติการในประเทศ CIS ก็สมเหตุสมผลที่จะตรวจสอบอย่างระมัดระวังเพื่อไม่ให้ตกเป็นเป้าของหน่วยงานความมั่นคงภายใน
      เช่น ถ้าสร้างบอตเน็ตแล้วปล่อยให้เช่า กลุ่มอื่นอาจเอาไปสร้างความเสียหายใหญ่จริง ๆ ได้ ดังนั้นการโฮสต์ไว้ต่างประเทศเฉย ๆ จึงปลอดภัยกว่า