Ransomware ShrinkLocker
Mnoho provozovatelů ransomwaru zpochybňuje nutnost integrace mechanismu zamykání kryptoměn do svých malwarových hrozeb, vzhledem k dostupnosti robustního šifrovacího softwaru společnosti Microsoft v systému Windows. Jedním z pozoruhodných příkladů, na které upozornili odborníci na kybernetickou bezpečnost, je ShrinkLocker. Tato varianta ransomwaru vytváří nový spouštěcí oddíl pro šifrování podnikových systémů pomocí nástroje Windows BitLocker.
Obsah
Threat Actors uzamknou data zneužitím legitimní funkce Windows
Případy ransomwaru využívajícího BitLocker k šifrování počítačů nejsou neobvyklé. V jednom případě aktér hrozby využil tuto bezpečnostní funkci v rámci Windows k zašifrování 100 TB dat na 40 serverech v nemocnici v Belgii. Podobně další útočník použil BitLocker k šifrování systémů patřících moskevskému výrobci a distributorovi masa. Společnost Microsoft vydala v září 2022 varování a odhalila, že íránským státem sponzorovaný útočník použil BitLocker k šifrování systémů se systémem Windows 10, Windows 11 nebo Windows Server 2016 a novější.
Po prozkoumání ShrinkLockeru však odborníci varují, že tato hrozba vykazuje dříve nezveřejněné vlastnosti, jejichž cílem je zesílit rozsah dopadu útoku.
ShrinkLocker se spustí pouze tehdy, když jsou splněny určité specifikace
ShrinkLocker, kódovaný ve Visual Basic Scripting (VBScript), jazyce představeném společností Microsoft již v roce 1996 a nyní je na cestě ven. Mezi svými funkcemi hrozba demonstruje schopnost identifikovat konkrétní verzi Windows běžící na cílovém počítači pomocí Windows Management Instrumentation (WMI) s třídou Win32_OperatingSystem.
Útok probíhá pouze za specifických podmínek, jako je aktuální doména odpovídající cíli a verze operačního systému (OS) novější než Vista. V opačném případě se ShrinkLocker automaticky uzavře a sám se smaže. Když cíl splní kritéria útoku, malware využije nástroj pro diskovou část ve Windows ke zmenšení každého nespouštěcího oddílu o 100 MB, čímž rozdělí nepřidělené místo na nové primární svazky stejné velikosti.
Výzkumníci poznamenávají, že ve Windows 2008 a 2012 ShrinkLocker Ransomware zpočátku zachovává spouštěcí soubory spolu s indexem dalších svazků. Podobné operace změny velikosti se provádějí na jiných verzích operačního systému Windows, i když s různými segmenty kódu, jak je uvedeno v technické analýze výzkumníků. Následně malware použije nástroj příkazového řádku BCDEdit k přeinstalaci spouštěcích souborů na nově vygenerované oddíly.
Ransomware ShrinkLocker vykresluje data na celých oddílech disku jako nepoužitelná
ShrinkLocker také upravuje položky registru tak, aby zakázala připojení ke vzdálené ploše nebo povolila šifrování BitLocker na hostitelích bez modulu Trusted Platform Module (TPM). Tento vyhrazený čip poskytuje hardwarové funkce související se zabezpečením.
Aktér hrozby za ShrinkLockerem nezahazuje soubor s výkupným, aby vytvořil komunikační kanál s obětí. Místo toho poskytují kontaktní e-mailovou adresu (onboardingbinder@proton.me, conspiracyid9@protonmail.com) jako štítek nových zaváděcích oddílů. Tento štítek však správci neuvidí, pokud zařízení nespustí pomocí prostředí pro obnovu nebo pomocí jiných diagnostických nástrojů, takže je poměrně snadné jej přehlédnout.
Po zašifrování disků aktér hrozby odstraní chrániče BitLocker (např. TPM, PIN, spouštěcí klíč, heslo, heslo pro obnovení, klíč pro obnovení), aby oběti odepřel jakoukoli možnost obnovit šifrovací klíč BitLocker, který je odeslán útočníkovi.
Klíč generovaný pro šifrování souborů je 64znaková kombinace náhodného násobení a nahrazení proměnné čísly 0-9, speciálními znaky a holoalfabetickou větou 'Rychlá hnědá liška skáče přes líného psa.' Klíč je dodáván prostřednictvím nástroje TryCloudflare, legitimní služby pro vývojáře k experimentování s CloudFlare's Tunnel bez přidání webu do DNS CloudFlare.
V závěrečné fázi útoku ShrinkLocker vynutí vypnutí systému, aby se všechny změny projevily, a ponechá uživateli uzamčené disky a žádné možnosti obnovení BitLockeru.
Aktéři hrozby ShrinkLocker nemusí být finančně motivováni
BitLocker nabízí možnost vytvořit personalizovanou zprávu na obrazovkách obnovy, což poskytuje ideální platformu pro zobrazení vyděračské zprávy obětem. Absence nápadně zobrazeného výkupného a e-mailu označeného pouze jako označení disku by mohlo naznačovat, že tyto útoky mají být spíše destruktivní povahy než vedené finančními motivy.
Výzkumníci odhalili, že ShrinkLocker se projevuje v mnoha variantách a byl nasazen proti vládnímu subjektu, stejně jako organizacím v odvětví výroby oceli a vakcín v Mexiku, Indonésii a Jordánsku.
Společnostem, které ve svých systémech používají BitLocker, důrazně doporučujeme zajistit bezpečné uložení klíčů pro obnovení a udržovat pravidelné offline zálohy, které jsou pravidelně testovány. Kromě toho jsou organizace vyzývány, aby nasadily správně nakonfigurované řešení Endpoint Protection Platform (EPP) k detekci pokusů o zneužití nástroje BitLocker, vynucení minimálních uživatelských oprávnění, umožnění komplexního protokolování a monitorování síťového provozu (včetně požadavků GET i POST), sledování událostí souvisejících s Spouštění VBS a PowerShell a protokolování příslušných skriptů.
Ransomware ShrinkLocker Video
Tip: Zapněte zvuk ON a sledovat video v režimu celé obrazovky.
