¿Por qué algunos malware limitan su alcance a ciertos países?

Navega tus respuestas
3

Me he dado cuenta de que algunos informes sobre malware mencionan que un determinado malware o kit de explotación ( RIG TK , paso 2, por ejemplo), limita su alcance a ciertos países o evita activamente infectar a otros países como Russia . He leído sobre el mapa de teclas de las víctimas que se utiliza para identificar su ubicación, pero no sé qué otra cosa podría hacerse (me imagino a través de IP, el idioma del sistema, etc.).

Me imagino que se debe en parte a ideales nacionalistas / políticos y, en parte, a tratar de dificultar su detección o análisis por parte de los investigadores. ¿Por qué otra persona evitaría infectar países específicos o limitar su infección a otros?

    
pregunta Daniel V 06.06.2017 - 02:04
fuente

2 respuestas

6

No estoy seguro de si @Fis está bromeando, pero no está lejos.

  1. Una cosa que sabemos sobre Rusia, por ejemplo, es que al gobierno no le importa en absoluto si un pirata informático ruso defrauda a ciudadanos o instituciones estadounidenses, pero si ese pirata informático (accidental o no) se dirige a un banco ruso, la furia del Estado caerá sobre él duro . Israel tiene leyes similares de "hazlo allí, pero no lo hagas aquí".

  2. Control de daños. Si escribe malware para robar el USD de los bancos de EE. UU. Y se propaga como un incendio forestal en África y el sudeste asiático, los investigadores de seguridad serán alertados y su público objetivo se verá afectado de manera prematura. Y terminarás con un montón de dólares de Zimbabwe con los que no puedes hacer nada. Es más seguro realizar algunas verificaciones sanitarias para ver si el malware está en el entorno correcto antes de detonar la carga útil.

respondido por el Ivan 06.06.2017 - 03:23
fuente
3

Es concebible que los operadores de malware incurran en algunos gastos operativos, como cualquier otro "negocio" de Internet. Si el "servicio" cuesta una cantidad pequeña pero real por cada "cliente", entonces solo quieren clientes que puedan pagar. El hecho de que bloqueen a Rusia significa que, por una razón u otra, ganan menos dinero con las computadoras rusas.

La causa podría ser una represalia rusa, pero también podría reflejar una cultura en la que los dispositivos no son tan confiables o no están profundamente comprometidos, lo que hace que un restablecimiento de fábrica sea más atractivo que un pago. Si la "vida entera de alguien está en esa computadora portátil", es más probable que pague lo que sea necesario. quizás el ruso promedio sea más pesimista o cauteloso acerca de lo que ingresan en tales dispositivos en primer lugar ...

    
respondido por el dandavis 06.06.2017 - 11:42
fuente

Lea otras preguntas en las etiquetas

¿El exploit Oracle de Padding de ASP.NET fue expuesto de una manera ética? ¿Qué podría haberse hecho de manera diferente? ¿El protocolo HTTPS consume mucho tiempo de CPU?