ShrinkLocker рансъмуер

До Mezo през Ransomwareг

Превод на:

Много оператори на ransomware поставят под съмнение необходимостта от интегриране на крипто-заключващ механизъм в техните заплахи за злонамерен софтуер, като се има предвид наличието на стабилния софтуер за криптиране на Microsoft в Windows. Един забележителен пример, подчертан от експерти по киберсигурност, е ShrinkLocker. Този вариант на ransomware създава нов дял за зареждане за криптиране на корпоративни системи, използващи Windows BitLocker.

Съдържание

Актьорите на заплахи заключват данни чрез злоупотреба със законна функция на Windows

Случаите на ransomware, използващи BitLocker за криптиране на компютри, не са необичайни. В един случай заплаха използва тази защитна функция в Windows, за да криптира 100TB данни в 40 сървъра в болница в Белгия. По подобен начин друг нападател използва BitLocker за криптиране на системи, принадлежащи на базиран в Москва производител и дистрибутор на месо. Microsoft издаде предупреждение през септември 2022 г., разкривайки, че ирански държавно спонсориран хакер е използвал BitLocker за криптиране на системи, работещи под Windows 10, Windows 11 или Windows Server 2016 и по-нови.

Въпреки това, след като разгледаха внимателно ShrinkLocker, експертите предупреждават, че тази заплаха показва неразкрити преди това характеристики, насочени към усилване на степента на въздействие на атаката.

ShrinkLocker се изпълнява само когато са изпълнени определени спецификации

ShrinkLocker, кодиран на Visual Basic Scripting (VBScript), език, въведен от Microsoft още през 1996 г. и сега е на път да излезе. Сред своите функционалности, заплахата демонстрира способността за идентифициране на конкретната версия на Windows, работеща на целевата машина, чрез използване на Windows Management Instrumentation (WMI) с класа Win32_OperatingSystem.

Атаката продължава само при определени условия, като например текущият домейн, съответстващ на целта, и версията на операционната система (ОС) е по-нова от Vista. В противен случай ShrinkLocker се затваря автоматично и се самоизтрива. Когато целта отговаря на критериите на атаката, зловредният софтуер използва помощната програма за дискова част в Windows, за да свие всеки незареждащ се дял със 100 MB, разделяйки неразпределеното пространство на нови първични томове с идентични размери.

Изследователите отбелязват, че в Windows 2008 и 2012 рансъмуерът ShrinkLocker първоначално запазва зареждащите файлове заедно с индекса на други томове. Подобни операции за преоразмеряване се извършват на други версии на Windows OS, макар и с различни кодови сегменти, както е посочено в техническия анализ на изследователите. Впоследствие злонамереният софтуер използва инструмента от командния ред BCDEdit, за да преинсталира зареждащите файлове на новогенерираните дялове.

Рансъмуерът ShrinkLocker прави данните на цели дялове на устройството неизползваеми

ShrinkLocker също така променя записите в регистъра, за да деактивира връзките с отдалечен работен плот или да активира BitLocker криптиране на хостове без Trusted Platform Module (TPM). Този специален чип осигурява хардуерно базирани функции, свързани със сигурността.

Актьорът на заплахата зад ShrinkLocker не пуска файл за откуп, за да установи комуникационен канал с жертвата. Вместо това те предоставят имейл адрес за връзка (onboardingbinder@proton.me, conspiracyid9@protonmail.com) като етикет на новите дялове за зареждане. Въпреки това, този етикет няма да бъде видян от администраторите, освен ако не стартират устройството чрез среда за възстановяване или чрез други инструменти за диагностика, което го прави доста лесен за пропускане.

След шифроване на устройствата, заплахата изтрива протекторите на BitLocker (напр. TPM, PIN, ключ за стартиране, парола, парола за възстановяване, ключ за възстановяване), за да откаже на жертвата всякаква опция за възстановяване на ключа за шифроване на BitLocker, който се изпраща на нападателя.

Ключът, генериран за криптиране на файлове, е комбинация от 64 знака от произволно умножение и заместване на променлива с числа от 0 до 9, специални символи и холоазбучното изречение „Бързата кафява лисица прескача мързеливото куче“. Ключът се доставя чрез инструмента TryCloudflare, законна услуга за разработчиците да експериментират с тунела на CloudFlare, без да добавят сайт към DNS на CloudFlare.

В последния етап на атаката ShrinkLocker принуждава системата да се изключи, за да влязат в сила всички промени и да остави потребителя със заключени устройства и без опции за възстановяване на BitLocker.

Заплахите от ShrinkLocker може да не са финансово управлявани

BitLocker предлага опцията за създаване на персонализирано съобщение на екраните за възстановяване, осигурявайки идеална платформа за показване на съобщение за изнудване на жертвите. Липсата на изложена на видно място бележка за откуп и имейл, обозначен само като етикет на устройство, може да подскаже, че тези атаки са предназначени да бъдат по-разрушителни по природа, отколкото водени от финансови мотиви.

Изследователите са открили, че ShrinkLocker се проявява в множество варианти и е бил разгърнат срещу държавна организация, както и срещу организации в секторите за производство на стомана и ваксини в Мексико, Индонезия и Йордания.

Компаниите, използващи BitLocker в своите системи, силно се съветват да осигурят сигурно съхранение на ключовете за възстановяване и да поддържат редовни офлайн архиви, които периодично се тестват. Освен това организациите се призовават да внедрят правилно конфигурирано решение за платформа за защита на крайната точка (EPP), за да откриват опити за злоупотреба с BitLocker, да налагат минимални потребителски привилегии, да активират цялостно регистриране и наблюдение на мрежовия трафик (включително GET и POST заявки), да проследяват събития, свързани с Изпълнение на VBS и PowerShell и логване на съответните скриптове.