Perché alcuni malware limitano il loro ambito ad alcuni paesi?

Naviga le tue risposte
3

Ho notato che alcuni rapporti sui malware menzionano che un certo malware o kit di exploit ( RIG TK , passaggio 2 per esempio), limitare il loro campo di applicazione ad alcuni paesi o evitare attivamente di infettare altri paesi come Russia . Ho letto della mappa delle chiavi delle vittime utilizzata per identificare la loro posizione, ma non so in quale altro modo si potrebbe fare (immagino tramite IP, linguaggio di sistema, ecc.).

Immagino che sia parzialmente dovuto a ideali nazionalisti / politici e in parte a cercare di rendere più difficile il rilevamento o l'analisi da parte dei ricercatori. Perché altrimenti qualcuno potrebbe evitare di infettare paesi specifici o limitare la propria infezione ad altri?

    
posta Daniel V 06.06.2017 - 02:04
fonte

2 risposte

6

Non sono sicuro che @Fis stia scherzando, ma non è lontano.

  1. Una cosa che sappiamo della Russia, ad esempio, è che al governo non interessa affatto se un hacker russo defraudeggia cittadini o istituzioni statunitensi, ma se quell'hacker (accidentalmente o no) prende di mira una banca russa, la furia dello stato scenderà su di lui difficile . Israele ha leggi simili "fallo là, ma non farlo qui".

  2. Controllo dei danni. Se si scrive malware per rubare USD dalle banche degli Stati Uniti e si diffonde come un incendio in Africa e nel Sud-Est asiatico, i ricercatori di sicurezza saranno allertati e il pubblico di destinazione si riprenderà prematuramente. E finirai con un mucchio di dollari dello Zimbabwe con cui non puoi fare niente. È più sicuro eseguire alcuni controlli di integrità per verificare se il malware si trova nell'ambiente corretto prima di detonare il carico utile.

risposta data 06.06.2017 - 03:23
fonte
3

È ipotizzabile che gli operatori di malware sostengano alcune spese operative, proprio come qualsiasi altro "business" di Internet. Se il "servizio" costa una piccola ma reale quantità per "cliente" da fornire, allora vogliono solo i clienti che possono permettersi di pagare. Il fatto di bloccare la Russia significa che, per una ragione o per l'altra, guadagnano meno con i computer russi.

La causa potrebbe essere la rappresaglia russa, ma potrebbe anche riflettere una cultura in cui i dispositivi non sono di fiducia o profondamente investiti, rendendo la reimpostazione di fabbrica più accattivante di un pagamento. Se la "vita intera di qualcuno è su quel laptop", è più probabile che paghi tutto ciò che serve. forse il russo medio è più pessimista o cauto su ciò che entra in tali dispositivi in primo luogo ...

    
risposta data 06.06.2017 - 11:42
fonte

Leggi altre domande sui tag

Quanto è sicuro il codice PIN + l'autenticazione sostitutiva? L'exploit Oracle di Padding ASP.NET è stato esposto in modo etico? Cosa avrebbe potuto essere fatto in modo diverso?