ShrinkLocker Ransomware

بواسطة Mezo في Ransomware

ترجمة الى:

يتساءل العديد من مشغلي برامج الفدية عن ضرورة دمج آلية قفل التشفير في تهديدات البرامج الضارة الخاصة بهم، نظرًا لتوفر برنامج التشفير القوي من Microsoft ضمن Windows. أحد الأمثلة البارزة التي أبرزها خبراء الأمن السيبراني هي ShrinkLocker. يقوم متغير برنامج الفدية هذا بإنشاء قسم تمهيد جديد لتشفير أنظمة الشركة باستخدام Windows BitLocker.

جدول المحتويات

تقوم الجهات الفاعلة في مجال التهديد بقفل البيانات عن طريق إساءة استخدام ميزة Windows المشروعة

حالات برامج الفدية التي تستخدم BitLocker لتشفير أجهزة الكمبيوتر ليست غير شائعة. وفي إحدى الحالات، استفاد أحد عناصر التهديد من ميزة الأمان هذه داخل Windows لتشفير 100 تيرابايت من البيانات عبر 40 خادمًا في مستشفى في بلجيكا. وبالمثل، استخدم مهاجم آخر BitLocker لتشفير الأنظمة التابعة لشركة إنتاج وموزع للحوم مقرها موسكو. أصدرت Microsoft تحذيرًا في سبتمبر 2022، كشفت فيه أن مهاجمًا إيرانيًا ترعاه الدولة قد استخدم BitLocker لتشفير الأنظمة التي تعمل بنظام التشغيل Windows 10 أو Windows 11 أو Windows Server 2016 والإصدارات الأحدث.

ومع ذلك، عند فحص ShrinkLocker، يحذر الخبراء من أن هذا التهديد يعرض ميزات لم يتم الكشف عنها سابقًا تهدف إلى تضخيم مدى تأثير الهجوم.

يتم تنفيذ ShrinkLocker فقط عند استيفاء مواصفات معينة

ShrinkLocker، المشفر باستخدام Visual Basic Scripting (VBScript)، وهي لغة قدمتها Microsoft في عام 1996 وهي الآن في طريقها للاختفاء. ومن بين وظائفه، يوضح التهديد القدرة على تحديد إصدار Windows المحدد الذي يعمل على الجهاز المستهدف من خلال استخدام Windows Management Instrumentation (WMI) مع فئة Win32_OperatingSystem.

يستمر الهجوم فقط في ظل ظروف محددة، مثل أن يكون النطاق الحالي مطابقًا للهدف وأن يكون إصدار نظام التشغيل (OS) أحدث من نظام التشغيل Vista. وبخلاف ذلك، يتم إغلاق ShrinkLocker تلقائيًا ويحذف ذاتيًا. عندما يفي الهدف بمعايير الهجوم، تستخدم البرامج الضارة الأداة المساعدة لجزء القرص في Windows لتقليص كل قسم غير قابل للتشغيل بمقدار 100 ميجابايت، وتقسيم المساحة غير المخصصة إلى وحدات تخزين أساسية جديدة ذات أحجام متطابقة.

لاحظ الباحثون أنه في نظامي التشغيل Windows 2008 و2012، يحتفظ ShrinkLocker Ransomware في البداية بملفات التمهيد إلى جانب فهرس المجلدات الأخرى. يتم إجراء عمليات تغيير حجم مماثلة على إصدارات أخرى من نظام التشغيل Windows، وإن كان ذلك بأجزاء مختلفة من التعليمات البرمجية، كما هو موضح في التحليل الفني للباحثين. وبعد ذلك، تستخدم البرامج الضارة أداة سطر الأوامر BCDEdit لإعادة تثبيت ملفات التمهيد على الأقسام التي تم إنشاؤها حديثًا.

يجعل برنامج ShrinkLocker Ransomware البيانات الموجودة على أقسام محرك الأقراص بأكملها غير قابلة للاستخدام

يقوم ShrinkLocker أيضًا بتعديل إدخالات التسجيل لتعطيل اتصالات سطح المكتب البعيد أو تمكين تشفير BitLocker على الأجهزة المضيفة بدون وحدة النظام الأساسي الموثوق به (TPM). توفر هذه الشريحة المخصصة وظائف متعلقة بالأمان تعتمد على الأجهزة.

لا يقوم ممثل التهديد الذي يقف وراء ShrinkLocker بإسقاط ملف فدية لإنشاء قناة اتصال مع الضحية. وبدلاً من ذلك، يقدمون عنوان بريد إلكتروني لجهة الاتصال (onboardingbinder@proton.me, Covenantid9@protonmail.com) كتسمية لأقسام التمهيد الجديدة. ومع ذلك، لن يتمكن المسؤولون من رؤية هذه التسمية إلا إذا قاموا بتشغيل الجهاز باستخدام بيئة استرداد أو من خلال أدوات تشخيصية أخرى، مما يجعل من السهل تفويتها إلى حد ما.

بعد تشفير محركات الأقراص، يقوم جهة التهديد بحذف أدوات حماية BitLocker (على سبيل المثال، TPM وPIN ومفتاح بدء التشغيل وكلمة المرور وكلمة مرور الاسترداد ومفتاح الاسترداد) لحرمان الضحية من أي خيار لاستعادة مفتاح تشفير BitLocker، والذي يتم إرساله إلى المهاجم.

المفتاح الذي تم إنشاؤه لتشفير الملفات هو مزيج مكون من 64 حرفًا من الضرب العشوائي واستبدال متغير بأرقام من 0 إلى 9، وأحرف خاصة، والجملة الأبجدية الشاملة "الثعلب البني السريع يقفز فوق الكلب الكسول". يتم تسليم المفتاح من خلال أداة TryCloudflare، وهي خدمة مشروعة للمطورين لتجربة نفق CloudFlare دون إضافة موقع إلى DNS الخاص بـ CloudFlare.

في المرحلة الأخيرة من الهجوم، يقوم ShrinkLocker بإجبار النظام على إيقاف التشغيل حتى تدخل جميع التغييرات حيز التنفيذ ويترك المستخدم مع محركات الأقراص مقفلة ولا توجد خيارات استرداد BitLocker.

قد لا يكون ممثلو التهديد في ShrinkLocker مدفوعين ماليًا

يوفر BitLocker خيار صياغة رسالة مخصصة على شاشات الاسترداد، مما يوفر منصة مثالية لعرض رسالة ابتزاز للضحايا. إن عدم وجود مذكرة فدية معروضة بشكل بارز ورسالة بريد إلكتروني مخصصة فقط كملصق محرك أقراص قد يشير إلى أن هذه الهجمات تهدف إلى أن تكون أكثر تدميراً بطبيعتها وليست مدفوعة بدوافع مالية.

اكتشف الباحثون أن ShrinkLocker يظهر في أشكال متعددة وتم نشره ضد كيان حكومي، بالإضافة إلى مؤسسات داخل قطاعات تصنيع الصلب واللقاحات في المكسيك وإندونيسيا والأردن.

تُنصح الشركات التي تستخدم BitLocker على أنظمتها بشدة بضمان التخزين الآمن لمفاتيح الاسترداد والاحتفاظ بنسخ احتياطية منتظمة دون اتصال يتم اختبارها بشكل دوري. علاوة على ذلك، يتم حث المؤسسات على نشر حل منصة حماية نقطة النهاية (EPP) الذي تم تكوينه بشكل صحيح لاكتشاف محاولات إساءة استخدام BitLocker، وفرض الحد الأدنى من امتيازات المستخدم، وتمكين التسجيل الشامل ومراقبة حركة مرور الشبكة (بما في ذلك طلبات GET وPOST)، وتتبع الأحداث المرتبطة بـ تنفيذ VBS وPowerShell وتسجيل البرامج النصية ذات الصلة.