แรนซัมแวร์จำนวนมากจะหยุดทำงานหากติดตั้งคีย์บอร์ดภาษารัสเซียไว้ (2021)

 (krebsonsecurity.com)
4 คะแนน โดย GN⁺ 2025-06-30 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • แรนซัมแวร์ส่วนใหญ่ จะหยุดทำงานหากระบบเป้าหมายที่ติดเชื้อมีการติดตั้ง คีย์บอร์ดภาษาของประเทศ CIS เช่น รัสเซียหรือยูเครน
  • เทคนิคหลบเลี่ยงนี้ มีจุดประสงค์เพื่อไม่ให้องค์กรอาชญากรรมทำให้หน่วยงานหรือบุคคลในประเทศตนเองตกเป็นเหยื่อ และหลีกเลี่ยงความสนใจจากหน่วยงานสืบสวนท้องถิ่น
  • การเปลี่ยนแค่ภาษาคีย์บอร์ดเพียงอย่างเดียว ไม่สามารถป้องกันมัลแวร์ทั้งหมดได้ และยังจำเป็นต้องปฏิบัติตามหลักความปลอดภัยหลายด้านอย่างเคร่งครัด
  • การ เพิ่มภาษาคีย์บอร์ด ทำได้ง่ายและฟรี และแทบไม่มีผลข้างเคียง
  • แม้แฮ็กเกอร์รัสเซียอาจหาทางเลี่ยงได้ แต่ ความเสี่ยงทางกฎหมาย จะสูงขึ้น จึงยังมีประสิทธิภาพในระดับหนึ่งในฐานะมาตรการป้องกัน

ประสิทธิภาพของการป้องกันการติดแรนซัมแวร์ด้วยการติดตั้งคีย์บอร์ดภาษารัสเซีย/ยูเครน

การตรวจจับภาษาคีย์บอร์ดและการหยุดทำงานของแรนซัมแวร์

  • ในการพูดคุยบน Twitter เกี่ยวกับการโจมตีด้วยแรนซัมแวร์เมื่อไม่นานมานี้ มีการกล่าวถึงข้อเท็จจริงว่าแรนซัมแวร์จำนวนมากมี กลไกความปลอดภัยในตัว ที่จะหยุดทำงานหากมีการติดตั้ง คีย์บอร์ดเสมือน เช่น ภาษารัสเซียหรือยูเครนใน Microsoft Windows
  • นี่เป็นวิธีที่มัลแวร์จากยุโรปตะวันออกนิยมใช้เป็นหลัก
  • ตัวอย่างเช่น แรนซัมแวร์จำนวนมากจะไม่ติดเชื้อในระบบนั้น หากมีการติดตั้งภาษาของประเทศ CIS (เครือรัฐเอกราช)
  • เป้าหมายหลักคือเพื่อให้กลุ่มอาชญากรเหล่านี้หลีกเลี่ยง การสืบสวนทางกฎหมาย ภายในประเทศของตน

กรณี Colonial Pipeline และกลุ่ม DarkSide

  • ประเด็นนี้ได้รับความสนใจระหว่างการพูดคุยเกี่ยวกับการโจมตีแรนซัมแวร์ต่อ Colonial Pipeline
  • การโจมตีดังกล่าวดำเนินการโดยกลุ่มแรนซัมแวร์แบบบริการชื่อ DarkSide ซึ่งมุ่งเป้าไปที่บริษัทขนาดใหญ่เป็นหลัก
  • องค์กรอาชญากรรมที่มีฐานอยู่ในรัสเซียได้กำหนดข้อห้ามภายในมาโดยตลอด ไม่ให้ติดเชื้อเป้าหมายใน ยูเครน รัสเซีย และประเทศยุโรปตะวันออกอื่น ๆ
  • นโยบายนี้มีไว้เพื่อหลีกเลี่ยงการตรวจสอบและการแทรกแซงจากรัฐบาลท้องถิ่น

โครงสร้างทางกฎหมายในรัสเซียและยุโรปตะวันออก

  • ในรัสเซีย การสืบสวนอาชญากรรมไซเบอร์จะเริ่มต้นอย่างเป็นทางการก็ต่อเมื่อมีพลเมืองในประเทศตกเป็นเหยื่อ
  • ดังนั้นการที่อาชญากรไม่สร้างความเสียหายต่อระบบภายในประเทศของตนเองจึงเป็น วิธีที่ปลอดภัยที่สุด
  • ในความเป็นจริง กลุ่มแรนซัมแวร์หลายกลุ่ม เช่น DarkSide และ REvil ปฏิบัติตามนโยบายนี้อย่างเคร่งครัด

การตรวจจับภาษาที่ฮาร์ดโค้ดไว้ในโค้ด

  • DarkSide และมัลแวร์อื่น ๆ อีกหลายตัวใส่ภาษาของประเทศ CIS ไว้ใน รายการที่ฮาร์ดโค้ดไว้ และจะไม่ทำงานหากตรวจพบว่าระบบติดตั้งภาษาเหล่านั้นอยู่
  • ในทางปฏิบัติ มัลแวร์จำนวนมหาศาลจะตรวจสอบภาษาของระบบเพื่อตัดสินใจว่าจะทำงานหรือไม่

ข้อจำกัดของวิธีหลบเลี่ยงและประสิทธิผลจริง

  • การติดตั้งคีย์บอร์ดของประเทศ CIS เช่น ภาษารัสเซียแบบง่าย ๆ มี ผลเชิงป้องกัน ต่อแรนซัมแวร์บางส่วน
  • แต่ไม่สามารถรับมือมัลแวร์ทั้งหมดได้ และ กลยุทธ์การป้องกันหลายชั้น ยังคงเป็นสิ่งจำเป็น
  • ผลข้างเคียงจากการเปลี่ยนภาษาก็ไม่ได้มากนัก แม้เผลอสลับภาษาไปก็สามารถเปลี่ยนกลับได้ง่ายด้วย Windows+Spacebar

ความเป็นไปได้ที่กลยุทธ์ของผู้โจมตีจะเปลี่ยนไปในอนาคต

  • ผู้เชี่ยวชาญบางส่วนวิเคราะห์ว่าผู้โจมตีอาจข้ามขั้นตอนการตรวจสอบภาษาไปได้
  • อันที่จริง ในเวอร์ชันของ DarkSide ที่ Mandiant วิเคราะห์ล่าสุดนั้น ไม่มีการตรวจสอบภาษา
  • อย่างไรก็ตาม หากทำเช่นนั้น ความเสี่ยงทางกฎหมาย ของอาชญากรก็จะเพิ่มขึ้นอย่างมาก

ความเห็นจากผู้เชี่ยวชาญและ 'ผลแบบวัคซีน'

  • Allison Nixon จาก Unit221B อธิบายว่าแฮ็กเกอร์รัสเซียใช้การตรวจสอบภาษานี้เพื่อรับ การคุ้มครองทางกฎหมาย
  • การเพิ่มภาษาและคีย์บอร์ดดังกล่าวอาจทำหน้าที่เสมือน 'วัคซีนป้องกันมัลแวร์รัสเซีย'
  • หากมีการใช้วิธีนี้ในวงกว้าง อาชญากรจะต้องเผชิญกับ ภาวะกลืนไม่เข้าคายไม่ออกระหว่างการคุ้มครองทางกฎหมายกับรายได้
  • อาชญากรเองก็เช่นเดียวกับผู้รับผิดชอบด้านความปลอดภัยฝั่งตะวันตก คือแยกแยะได้ยากว่าระบบใดเป็นระบบท้องถิ่นจริง

การหลบเลี่ยงการตรวจจับสภาพแวดล้อมเครื่องเสมือน

  • ผู้ใช้ Twitter บางรายยังเสนอให้เพิ่มรายการรีจิสทรีที่ระบุชัดว่าเป็นเครื่องเสมือน
  • แม้ในอดีตจะได้ผล แต่ปัจจุบันหลายองค์กรใช้งานเครื่องเสมือนกันเป็นปกติ จึงไม่ถือว่าเป็นเทคนิคที่น่าเชื่อถืออีกต่อไป

วิธีเพิ่มภาษาได้อย่างง่ายดาย

  • Lance James จาก Unit221B ได้สร้างและเผยแพร่ สคริปต์ Windows batch แบบ 2 บรรทัด ที่ทำให้ดูเหมือนว่ามีการติดตั้งคีย์บอร์ดภาษารัสเซีย
  • สคริปต์นี้สามารถให้ ผลในการหลีกเลี่ยงการติดเชื้อ ได้ โดยไม่ต้องดาวน์โหลดไลบรารีภาษารัสเซียจริง
  • แม้ใช้วิธีดั้งเดิม ก็สามารถเพิ่มภาษาคีย์บอร์ดได้อย่างง่ายดายผ่าน 'การตั้งค่า → เวลาและภาษา → เพิ่มภาษา'
  • หากเผลอเปลี่ยนการตั้งค่าภาษาแล้วเมนูแสดงเป็นภาษารัสเซีย ก็สามารถสลับภาษาได้ด้วยคีย์ลัด Windows+Spacebar

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-06-30
ความคิดเห็นบน Hacker News

  • ประเด็นคือถ้าทำให้คอมพิวเตอร์ของเราดูเหมือนแซนด์บ็อกซ์สำหรับวิเคราะห์มัลแวร์ มัลแวร์จำนวนมากก็จะปิดตัวเองเพื่อหลบการวิเคราะห์ ฟังดูเหมือนเกมแมวจับหนู

    • ทุกวันนี้ Windows Server ส่วนใหญ่รันอยู่ในสภาพแวดล้อมเสมือนจริงกันแล้ว เลยอาจไม่ได้ผลเท่าเมื่อก่อน แต่ก็อาจยังดูตัวชี้วัดอื่นประกอบได้
    • ข้อเสนอแซว ๆ ว่าให้ใส่สตริง VirtualBox ลงไปในเฟิร์มแวร์
    • มีคนบอกว่าเรื่องนี้เคยถูกพูดถึงในโพสต์ Hacker News ก่อนหน้านี้แล้ว และมาจากลิงก์นี้
    • มุกว่าถึงเวลาติดตั้ง Ghidra ลงทุกเวิร์กสเตชันแล้วหรือยัง
    • มีคนโต้แย้งต่อคำกล่าวที่ว่า “ถ้าปลอมคอมพิวเตอร์ให้เป็นแซนด์บ็อกซ์ มัลแวร์จำนวนมากจะปิดตัวเองเพื่อเลี่ยงการวิเคราะห์” ว่านี่เป็นคนละประเด็นกันโดยสิ้นเชิง พร้อมเน้นว่าถ้ามีตัวป้อนภาษารัสเซียติดตั้งอยู่ มัลแวร์จะปิดตัวเองเพื่อหลีกเลี่ยงความเสี่ยงทางกฎหมาย

  • มีความเห็นว่ามีหลักฐานมากพอว่าวิธีนี้ (ตรวจจับคีย์บอร์ดรัสเซีย) ใช้ได้ผลจริงกับกลุ่มแรนซัมแวร์อย่าง Patya, Fancy Bear, Cozy Bear, Conti เพราะเหตุผลสำคัญคือรัฐบาลรัสเซียคุ้มกันไม่เอาผิดตราบใดที่ไม่เล่นงานคนในประเทศ
    อีกทั้งยังมีกรณีที่ถ้าผู้ถูกโจมตีบอกว่าตัวเองเป็นชาวรัสเซียหรือคุยเป็นภาษารัสเซีย ผู้โจมตีก็ถอดรหัสระบบให้ฟรีด้วย

    • มีคนสงสัยว่านโยบาย “บอกว่าเป็นคนรัสเซียแล้วถอดรหัสให้ฟรี” จะใช้ได้อย่างไรในยุค AI แปลภาษา และนึกถึงกรณีในอดีตที่นักพัฒนาซอฟต์แวร์แชร์แวร์รัสเซียให้ไลเซนส์ฟรีกับชาวรัสเซีย
    • ย้ำว่ากลุ่มแฮ็กเกอร์รัสเซียรู้และเข้าใจกฎ “อย่าสร้างปัญหาในบ้านตัวเอง (don’t piss inside the tent)” กันดีมาก
    • มีคนชี้ว่าความเป็นจริงอาจไม่ง่ายขนาดนั้น เพราะชาวรัสเซียมีอยู่ทุกที่และอาจทำงานอยู่ในบริษัทที่เป็นเหยื่อด้วย ถ้าเงินค่าไถ่สูงระดับหลายล้านดอลลาร์ แค่บอกว่าเป็นคนรัสเซียคงไม่พอที่จะได้ปล่อยฟรี อาจต้องโน้มน้าวว่าเป็นกิจการของรัสเซียจริง หรือมีหลักฐานทำนองว่า “พ่อฉันทำงานอยู่ FSB”

  • มีชาวรัสเซียคนหนึ่งเล่าประสบการณ์ตรงสมัยปลายยุค 2000 ที่เคยช่วยลบ winlocker ออกจากคอมพิวเตอร์ของเพื่อนที่ไม่ค่อยถนัดเทคโนโลยี มัลแวร์พวกนี้ไม่ได้แค่เข้ารหัสไฟล์ แต่จะเปิดหน้าต่างที่ปิดไม่ได้ขึ้นมาเรียกเงิน และยังมีข้อความชวนขำอย่าง “ขอบคุณสำหรับวิดเจ็ตทางลัดไปเว็บผู้ใหญ่” เป็นความทรงจำที่น่าสนใจ

  • มีคนบอกว่าน่าจะมีมัลแวร์ที่จงใจเล่นงานเฉพาะระบบที่เปิดใช้คีย์บอร์ดซีริลลิกอยู่แล้ว จึงสื่อว่าผู้โจมตีก็ใช้การตรวจสภาพแวดล้อมภาษารัสเซียเป็นจุดเช็กเช่นกัน

  • มีการแชร์ทิปว่าวิธีป้องกันมัลแวร์ที่ดีที่สุดบน Windows คือทำให้บัญชีหลักที่ใช้ประจำวันเป็นบัญชีผู้ใช้ทั่วไป ไม่ใช่แอดมิน ควรสร้างบัญชีผู้ดูแลระบบแบบโลคัลแยกไว้ต่างหากและใช้รหัสผ่านคนละชุด เวลาอยากติดตั้งซอฟต์แวร์หรือรัน powershell รวมถึงงานดูแลระบบอื่น ๆ ก็ต้องยืนยันสิทธิ์แอดมินแยกต่างหาก ดังนั้นถ้ามีป๊อปอัปน่าสงสัยโผล่มาก็เป็นสัญญาณว่ามีอะไรผิดปกติ บัญชีทั่วไปใช้รหัสผ่านธรรมดาได้ (แต่ไม่ควรสั้น) ส่วนบัญชีแอดมินใช้รหัสผ่านซับซ้อนได้ จึงเหมาะจะแนะนำให้คนในครอบครัวที่ไม่เก่งไอทีใช้

    • มีคนทักว่าต่อให้ไม่มีสิทธิ์แอดมิน มัลแวร์ก็ยังทำอะไรได้อีกเยอะ เพราะยังเข้าถึงระบบไฟล์ในสิทธิ์ของผู้ใช้และต่ออินเทอร์เน็ตได้แทบไม่มีข้อจำกัด การแยกสิทธิ์แบบนี้จึงไม่ได้ช่วยหยุดการขโมยข้อมูล แรนซัมแวร์ หรือการทำลายข้อมูล
    • มีคนอธิบายว่าเห็นด้วยสำหรับช่วงต้นยุค 2000 ถึงปี 2012 แต่หลัง Vista เป็นต้นมา มัลแวร์ก็วิวัฒน์ตาม UAC จนทำงานบนบัญชีทั่วไปได้สบาย ดังนั้นการไม่มีสิทธิ์แอดมินไม่ได้ช่วยปกป้องข้อมูลมากนัก พร้อมแชร์แนวทางว่าควรแยกงานที่อ่อนไหวที่สุด (เช่นเรื่องการเงิน) ไปทำบนเครื่องจริงอีกเครื่องหนึ่ง หรือพยายามแยกข้อมูลด้วยการแยกบัญชีผู้ใช้บน Windows และบอกว่าอยากใช้ OS แบบแยกสภาพแวดล้อมเข้มข้นอย่าง Qubes OS แต่ยังไม่ได้เรียนรู้
    • มีคนสรุปว่าสุดท้ายแล้วสิ่งที่ผู้ใช้คนนั้นอธิบายก็คือแนวทางเดียวกับที่ User Account Control (UAC) บน Windows Vista ขึ้นไปทำเป็นค่าปริยายอยู่แล้ว
    • มีความเห็นว่าแรนซัมแวร์ขององค์กรอาชญากรรมมักเล็งเป้าบริษัทมากกว่าพลเรือนทั่วไป จึงทำให้เราเจอแรนซัมแวร์ในบริบทธุรกิจมากกว่าระดับบุคคล ยกตัวอย่าง Petya ว่าต่อให้มีแค่สิทธิ์ผู้ใช้ทั่วไป ก็ยังมีสถานการณ์ที่สามารถยึดเซสชันแอดมินในเครือข่ายภายในหรือยกระดับเป็นโดเมนแอดมินได้ อีกทั้งยังลบหรือเข้ารหัสข้อมูล ซ่อนมัลแวร์ได้โดยไม่ต้องมีสิทธิ์แอดมิน และมัลแวร์ที่มากับซอฟต์แวร์แบบ bundled ก็สามารถให้ผู้ใช้ติดตั้งเองได้ เป็นแนวทางที่เกิดขึ้นจริงหลายแบบ
    • แนบลิงก์การ์ตูน xkcd 1200 พร้อมใจความว่าการแยกบัญชีมีความหมายกับคอมพิวเตอร์ที่มีหลายคนใช้ร่วมกัน แต่ถ้าส่วนใหญ่เป็นผู้ใช้คนเดียว ประสิทธิผลของการแยกสิทธิ์แอดมินก็มีจำกัด สรุปคือในทางปฏิบัติ การแยกสิทธิ์ผู้ดูแลบนพีซีส่วนบุคคลไม่ได้ช่วยป้องกันการแฮ็กได้มากนัก

  • มีคนสงสัยว่าหลังจาก Brian Krebs เปิดเผยเรื่องนี้ในปี 2021 แล้ว วิธีนี้ยังใช้ได้ผลอยู่หรือไม่

    • มีความเห็นว่ารัสเซียและเกาหลีเหนือมองแรนซัมแวร์เป็นกิจกรรมทางเศรษฐกิจที่ถูกกฎหมาย และจะเดินหน้าต่อไปในฐานะส่วนหนึ่งของยุทธศาสตร์สงครามแบบไฮบริด
    • มีคนอธิบายว่าโดยพื้นฐานแล้วนี่เป็นเรื่องของกฎหมายและการบังคับใช้ ดังนั้นถ้าไม่ไปแตะรัฐบาลรัสเซีย ก็มีเหมือนกฎไม่ยุ่งกัน พร้อมย้ำว่าสหรัฐฯ เป็นตลาดเป้าหมายของการปล้นสะดมมากกว่ารัสเซียมาก โดยอ้างสถิติ FBI ว่าอาชญากรรม Business Email Compromise (BEC) ในสหรัฐฯ สร้างความเสียหาย 2.7 พันล้านดอลลาร์ในปี 2024 ปีเดียว และแชร์เคสที่ตัวเองดูแลซึ่งผู้คุกคามจากจีนปลอมตัวสมัครงานเข้าบริษัทอเมริกัน แล้วฉวยประโยชน์จากส่วนลดพนักงานภายในจนสร้างความเสียหาย 1 ล้านดอลลาร์
    • แนบลิงก์ FBI 2024 Internet Crime Report

  • มีคนพูดสั้น ๆ ว่าแค่ชื่อเรื่องก็ตลกแล้ว ให้ความรู้สึกเหมือนเป็นเรื่องธรรมดาที่แรนซัมแวร์ส่วนใหญ่มาจากรัสเซีย

  • มีคนคิดว่าถ้ามีคีย์บอร์ดรัสเซียอยู่ มันอาจยิ่งดึงดูดมัลแวร์ของ NSA มากขึ้นก็ได้

    • เกร็ดข้อมูลว่ารัสเซีย จีน และประเทศอื่น ๆ แบน Windows ในหน่วยงานรัฐบาลหรือทหารที่อ่อนไหว และใช้ลินุกซ์ดิสโทรของตัวเองแทน

  • ข้อความสั้น ๆ ที่มีแค่คำว่า 2021

    • มีคนสงสัยว่ายูเครนถูกถอดออกจากรายการยกเว้นหรือยัง และชี้ว่าผังคีย์บอร์ดของยูเครนต่างจากรัสเซีย

  • มีคนสงสัยว่านอกจากผังคีย์บอร์ดแล้ว ถ้าเวลาเปลี่ยนไป ผู้โจมตีจะเช็กไทม์โซนหรือข้อมูลอื่น ๆ ร่วมด้วยหรือไม่