Rusça klavye yüklüyse birçok ransomware çalışmayı durduruyor (2021)

 (krebsonsecurity.com)
4 puan yazan GN⁺ 2025-06-30 | 1 yorum | WhatsApp'ta paylaş
  • Çoğu ransomware, hedef sistemde Rusça veya Ukraynaca gibi CIS ülkelerine ait dil klavyeleri yüklüyse çalışmayı durdurur
  • Bu tür kaçınma tekniği, suç gruplarının kendi ülkelerindeki kurum ya da bireyleri mağdur etmemesini sağlayarak yerel kolluk kuvvetlerinin ilgisinden uzak kalmayı amaçlar
  • Sadece klavye dilini değiştirmekle tüm kötü amaçlı yazılımlara karşı korunmak mümkün değildir; temelde çeşitli güvenlik kurallarına uyulması gerekir
  • Klavye dili eklemek kolay ve ücretsizdir, yan etkisi ise neredeyse yoktur
  • Rus hackerlar bunu aşsa bile hukuki risk büyüyeceği için, savunma önlemi olarak belli ölçüde etkilidir

Rusça/Ukraynaca klavye kurulumunun ransomware bulaşmasını engellemedeki etkisi

Klavye dili algılama ve ransomware'in çalışmayı durdurması

  • Son dönemdeki ransomware saldırılarıyla ilgili Twitter tartışmalarında, çok sayıda ransomware'in Microsoft Windows üzerinde Rusça veya Ukraynaca gibi sanal klavyeler yüklüyse çalışmayı durduran yerleşik bir güvenlik mekanizmasına sahip olduğundan söz edildi
  • Bu, özellikle Doğu Avrupa kökenli kötü amaçlı yazılımların sık kullandığı bir yöntemdir
  • Örneğin birçok ransomware, CIS (Bağımsız Devletler Topluluğu) ülkelerine ait diller yüklüyse ilgili sistemi enfekte etmez
  • Temel amaç, bu suç gruplarının kendi ülkelerinde adli soruşturmadan kaçınmasıdır

Colonial Pipeline vakası ve DarkSide grubu

  • Bu konu, Colonial Pipeline ransomware saldırısına dair tartışmalar sırasında öne çıktı
  • Söz konusu saldırı, DarkSide adlı bir ransomware-as-a-service grubunun büyük şirketleri ana hedef alarak yürüttüğü bir operasyondu
  • Rusya merkezli suç örgütleri, Ukrayna, Rusya ve diğer Doğu Avrupa ülkelerini enfeksiyon hedefi yapmayı kendi içlerinde yasaklamıştı
  • Bu politika, yerel hükümetlerin soruşturma ve müdahalesinden kaçınmayı amaçlıyordu

Rusya ve Doğu Avrupa'daki hukuki yapı

  • Rusya'da siber suç soruşturmaları resmen ancak mağdur kendi vatandaşıysa başlatılıyor
  • Bu nedenle suçlular için kendi ülkelerindeki sistemlere zarar vermemek en güvenli yöntem sayılıyor
  • Nitekim DarkSide ve REvil gibi birçok ransomware grubu bu politikaya sıkı biçimde uyuyordu

Kod içine gömülü dil algılama

  • DarkSide ve çeşitli diğer kötü amaçlı yazılımlar, CIS ülkelerinin dillerini sabit kodlanmış bir listeye ekliyor ve sistemde bu diller yüklüyse çalışmıyor
  • Gerçekten de sayısız kötü amaçlı yazılım, çalışıp çalışmayacağına karar vermek için sistem dilini kontrol ediyor

Yöntemin sınırları ve gerçek etkisi

  • Rusça gibi CIS ülkelerine ait bir klavyeyi kurmak, bazı ransomware türlerine karşı önleyici etki sağlayabilir
  • Ancak bu, tüm kötü amaçlı yazılımlara karşı işe yaramaz; çok katmanlı savunma stratejisi şarttır
  • Dil değişikliğinin yan etkileri de büyük değildir. Dil yanlışlıkla değişse bile Windows+Spacebar ile kolayca geri geçilebilir

Saldırganların gelecekte strateji değiştirme ihtimali

  • Bazı uzmanlar, saldırganların dil kontrol adımını tamamen atlayabileceğini düşünüyor
  • Nitekim Mandiant tarafından analiz edilen yakın tarihli bir DarkSide sürümünde dil kontrolü atlanmıştı
  • Ancak böyle bir durumda suçluların hukuki riski önemli ölçüde artar

Uzman yorumu ve 'aşı etkisi'

  • Unit221B'den Allison Nixon, Rus hackerların bu dil kontrolünü kullanarak hukuki koruma elde ettiğini söylüyor
  • Bu dil ve klavyeyi eklemek, bir tür 'Rus kötü amaçlı yazılım aşısı' işlevi görebilir
  • Bu yöntem yaygınlaşırsa suçlular, hukuki koruma ile gelir arasında seçim yapmak zorunda kalacakları bir ikilemle karşı karşıya kalır
  • Suçlular da Batılı güvenlik ekipleri gibi, bir sistemin gerçekten yerel bir sistem olup olmadığını ayırt etmekte zorlanır

Sanal makine ortamı tespitini atlatma

  • Bazı Twitter kullanıcıları, sanal makine olduğunu belirten kayıt defteri girdileri eklemeyi de önerdi
  • Geçmişte etkili olsa da günümüzde birçok kuruluş sanal makineleri rutin biçimde kullandığından bu teknik artık güvenilir kabul edilmiyor

Dili kolayca ekleme yöntemi

  • Unit221B'den Lance James, Rusça klavye yüklüymüş gibi görünmesini sağlayan 2 satırlık bir Windows batch script'i hazırlayıp paylaştı
  • Bu script, gerçek Rusça kütüphanelerini indirmeden de bulaşmadan kaçınma etkisi sağlayabiliyor
  • Geleneksel yöntemle de 'Ayarlar → Zaman ve dil → Dil ekle' yolundan klavye dili kolayca eklenebilir
  • Eğer dil ayarı değişip menüler Rusça görünürse, Windows+Spacebar kısayoluyla dil değiştirilebilir

İlgili okumalar

1 yorum

 
GN⁺ 2025-06-30
Hacker News görüşleri

  • Mesele şu: bilgisayarımı kötü amaçlı yazılım analiz sandbox’ı gibi gösterirsem, çoğu zararlı analizden kaçınmak için kendini kapatır; ama bu tam bir kedi-fare oyunu gibi geliyor

    • Günümüzde çoğu Windows sunucusu sanallaştırılmış ortamlarda çalıştığı için bunun eskisi kadar etkili olmayabileceği düşünülüyor; yine de başka göstergeler de hesaba katılabilir
    • Firmware’e VirtualBox dizesini koymaya dair şakacı bir öneri
    • Bunun daha önce başka bir Hacker News gönderisinde de geçtiği, şu bağlantıda bahsedildiği söyleniyor
    • Artık her workstation’a Ghidra kurmak gerekeceğine dair bir şaka
    • “Bilgisayarımı sandbox gibi kamufle edersem birçok zararlı analizden kaçınmak için kapanır” iddiasına karşı, bunun bambaşka bir mesele olduğuna dair itiraz. Burada asıl noktanın, Rusça giriş yöntemi kuruluysa zararlının hukuki riskten kaçınmak için kapanması olduğu vurgulanıyor

  • Patya, Fancy Bear, Cozy Bear, Conti gibi ransomware gruplarına karşı bu yöntemin (Rus klavyesi algılama) gerçekten işe yaradığına dair çok sayıda kanıt olduğu görüşü; en büyük neden olarak da Rus hükümetinin, kendi vatandaşlarını hedef almadıkları sürece cezasızlık sağlaması gösteriliyor
    Ayrıca saldırganlara Rus olduklarını söyleyen ya da onlarla Rusça konuşan kişilere sistemlerini ücretsiz çözdükleri durumlar da olduğu anlatılıyor

    • “Rus olduğunu söylersen ücretsiz çözme” yaklaşımının yapay zeka çeviri çağında nasıl işleyeceğini merak eden bir yorum; geçmişte Rus shareware geliştiricilerinin Ruslara ücretsiz lisans verdiği örnekleri hatırlatıyor
    • Rus hacker gruplarının “çadırın içine işeme (don’t piss inside the tent)” politikasını çok iyi bildiği ve herkesin bunu anladığı vurgulanıyor
    • İşin gerçekte o kadar basit olmayabileceği söyleniyor; Ruslar her yerde ve mağdur şirkette de çalışıyor olabilir, ama fidye birkaç milyon dolarsa sırf Rus olduğunu söylemek yetmeyebilir. Gerçekten Rus sahipliği olduğunu kanıtlamak ya da “babam FSB’de çalışıyor” gibi deliller gerekebileceği öne sürülüyor

  • 2000’lerin sonlarında teknolojiye uzak arkadaşlarının bilgisayarlarından winlocker temizleyen bir Rus, birebir deneyimini paylaşıyor. Bu zararlılar dosyaları şifrelemekten ziyade kapatılamayan bir pencere açıp para istiyordu; hatta “yetişkin web siteleri hızlı erişim widget’ı için teşekkürler” gibi komik ifadeler de içeriyordu

  • Yalnızca Kiril klavyesi etkin sistemleri hedefleyen zararlıların da elbette var olabileceği, yani Rusça ortamın da saldırganlar için bir kontrol noktası olabileceği ima ediliyor

  • Windows’ta en iyi anti-malware yönteminin, günlük kullanılan ana hesabı yönetici yerine standart kullanıcı hesabı yapmak olduğu yönünde bir ipucu paylaşılıyor Ayrı bir yerel yönetici hesabı oluşturulması ve farklı parola kullanılması gerektiği; yazılım kurma ya da PowerShell çalıştırma gibi yönetim işleri gerektiğinde ayrıca yönetici doğrulaması isteneceği için şüpheli bir açılır pencerenin bir şeylerin ters gittiğine işaret edeceği anlatılıyor Standart hesapta normal (ama çok kısa olmayan) bir parola, yönetici hesabında ise karmaşık bir parola kullanılabileceği; bunun özellikle BT bilgisi olmayan aile üyeleri için tavsiye edildiği söyleniyor

    • Buna karşılık, yönetici yetkisi olmasa da zararlıların yine çok şey yapabileceği; kullanıcının erişebildiği dosya sistemine ulaşmanın ya da internete bağlanmanın önünde büyük bir engel olmadığı için bu tür yetki ayrımının veri sızdırma, ransomware ya da veri yıkımını önleyemeyeceği belirtiliyor
    • 2000’lerin başından 2012’ye kadar buna katılındığı, ancak Vista sonrasında zararlıların UAC’ye uyum sağlayarak standart hesapta da gayet iyi çalışacak şekilde evrildiği; dolayısıyla yönetici olmamanın veriyi korumaya pek yardım etmediği anlatılıyor. En hassas işlerin (çoğunlukla finansal olanların) ayrı bir fiziksel bilgisayarda yapılabileceği ya da Windows’ta kullanıcı hesabı ayrımıyla veri izolasyonu denenebileceği söyleniyor; Qubes OS gibi güçlü izolasyon odaklı bir işletim sistemi kullanmak istendiği ama henüz öğrenilemediği yönünde kişisel bir not da ekleniyor
    • Sonuç olarak kullanıcının anlattığının, Windows Vista’dan beri User Account Control (UAC)’un varsayılan olarak uyguladığı yaklaşımla aynı olduğu özetleniyor
    • Organize suç kaynaklı ransomware saldırılarının çoğunlukla bireylerden çok şirketleri hedef aldığı; bu yüzden ransomware’e kişisel değil kurumsal ortamlarda daha sık rastlandığı görüşü paylaşılıyor. Petya örneği verilerek, yalnızca standart kullanıcı yetkisiyle bile ağ içindeki yönetici oturumlarının ele geçirilebildiği ya da domain admin yetkisine ulaşılabildiği senaryolardan söz ediliyor; yönetici yetkisi olmadan da verinin silinip şifrelenebileceği veya zararlının gizlenebileceği, ayrıca yazılıma gömülü zararlının kullanıcı tarafından bizzat kurulabileceği gibi gerçekçi yöntemler sıralanıyor
    • xkcd 1200 bağlantısıyla birlikte, çok kullanıcılı bilgisayarlarda hesap ayrımının anlamlı olduğu ama çoğu durumda tek kullanıcılı sistemlerde yönetici ayrımının etkisinin sınırlı kaldığı; pratikte ev tipi PC’lerde yönetici yetkisini ayırmanın hacklenmeyi önlemekte çok yardımcı olmadığı sonucu çıkarılıyor

  • Brian Krebs’in bunu 2021’de duyurmasının ardından, bu yöntemin hâlâ işe yarayıp yaramadığı merak ediliyor

    • Rusya ve Kuzey Kore’nin ransomware’i meşru ekonomik faaliyet olarak gördüğü ve bunu hibrit savaş stratejisinin parçası olarak sürdürdüğü iddia ediliyor
    • Bunun temelde hukuki ve soruşturma boyutlu bir mesele olduğu, Rus hükümetine dokunmazsan karşılıklı olarak size de dokunulmadığı şeklinde bir kural bulunduğu söyleniyor. ABD’nin, Rusya’ya kıyasla çok daha büyük bir yağma pazarı olduğu vurgulanıyor; FBI verilerine göre sadece 2024’te ABD’deki business email compromise (BEC) dolandırıcılıklarının 2,7 milyar dolar zarara yol açtığı belirtiliyor. Ayrıca yorum sahibi, baktığı bir vakada Çinli bir tehdit aktörünün ABD’li bir şirkete çalışan kılığıyla girip kurum içi personel indirimlerinden on binlerce dolar değerinde faydalanarak 1 milyon dolar kayba neden olduğunu paylaşıyor
    • FBI 2024 İnternet Suçları Raporu bağlantısı ekleniyor

  • Başlığın kendi başına komik olduğu; çoğu ransomware’in Rusya kaynaklı olduğu varsayımının çok doğal hissettirdiği söyleniyor

  • Rus klavyesi varsa bunun NSA zararlıları için daha da çekici olabileceği düşünülüyor

    • Rusya, Çin gibi ülkelerde hassas devlet ve askeri kurumlarda Windows’un yasak olduğu ve bunun yerine kendi Linux dağıtımlarının kullanıldığına dair bir trivia bilgisi veriliyor

  • Sadece “2021” yazan kısa bir mesaj

    • Ukrayna’nın hariç tutulanlar listesinden çıkarılıp çıkarılmadığı merak ediliyor; klavye düzeninin Rusya’dakinden farklı olduğuna dikkat çekiliyor

  • Yalnızca klavye düzeninin değil, saat değiştiğinde saat dilimi ya da başka çeşitli bilgilerin de kontrol edilip edilmediği merak ediliyor