ShrinkLocker Ransomware
Adskillige ransomware-operatører stiller spørgsmålstegn ved nødvendigheden af at integrere en krypto-låsemekanisme i deres malware-trusler, givet tilgængeligheden af Microsofts robuste krypteringssoftware i Windows. Et bemærkelsesværdigt eksempel fremhævet af cybersikkerhedseksperter er ShrinkLocker. Denne ransomware-variant etablerer en frisk boot-partition til at kryptere virksomhedssystemer, der bruger Windows BitLocker.
Indholdsfortegnelse
Trussel skuespillere låser data ved at misbruge legitime Windows-funktioner
Forekomster af ransomware, der anvender BitLocker til at kryptere computere, er ikke ualmindeligt. I et tilfælde udnyttede en trusselsaktør denne sikkerhedsfunktion i Windows til at kryptere 100 TB data på tværs af 40 servere på et hospital i Belgien. På samme måde brugte en anden angriber BitLocker til at kryptere systemer, der tilhører en Moskva-baseret kødproducent og -distributør. Microsoft udsendte en advarsel i september 2022, der afslørede, at en iransk statssponsoreret angriber havde brugt BitLocker til at kryptere systemer, der kører Windows 10, Windows 11 eller Windows Server 2016 og nyere.
Men efter at have gransket ShrinkLocker, advarer eksperter om, at denne trussel udviser hidtil ukendte funktioner, der sigter mod at forstærke omfanget af angrebets virkning.
ShrinkLocker udføres kun, når visse specifikationer er opfyldt
ShrinkLocker, kodet i Visual Basic Scripting (VBScript), et sprog introduceret af Microsoft helt tilbage i 1996 og er nu på vej ud. Blandt dens funktionaliteter demonstrerer truslen evnen til at identificere den specifikke Windows-version, der kører på målmaskinen, ved at bruge Windows Management Instrumentation (WMI) med Win32_OperatingSystem-klassen.
Angrebet fortsætter kun under specifikke forhold, såsom det aktuelle domæne, der matcher målet, og operativsystemversionen (OS) er nyere end Vista. Ellers afslutter ShrinkLocker automatisk og sletter sig selv. Når målet opfylder angrebets kriterier, bruger malwaren diskdel-værktøjet i Windows til at formindske hver partition, der ikke er startet, med 100 MB, og opdeler den ikke-allokerede plads i nye primære volumener af identiske størrelser.
Forskere bemærker, at i Windows 2008 og 2012 bevarer ShrinkLocker Ransomware oprindeligt boot-filerne sammen med indekset for andre volumener. Lignende størrelsesændringer udføres på andre Windows OS-versioner, dog med forskellige kodesegmenter, som beskrevet i forskernes tekniske analyse. Efterfølgende anvender malwaren BCDEdit-kommandolinjeværktøjet til at geninstallere boot-filerne på de nyligt genererede partitioner.
ShrinkLocker Ransomware gør dataene på hele drevpartitionerne ubrugelige
ShrinkLocker ændrer også registreringsposter for at deaktivere fjernskrivebordsforbindelser eller aktivere BitLocker-kryptering på værter uden et Trusted Platform Module (TPM). Denne dedikerede chip giver hardwarebaserede, sikkerhedsrelaterede funktioner.
Trusselsaktøren bag ShrinkLocker slipper ikke en løsesum-fil for at etablere en kommunikationskanal med offeret. I stedet giver de en kontakt-e-mailadresse (onboardingbinder@proton.me, conspiracyid9@protonmail.com) som etiketten for de nye boot-partitioner. Denne etiket vil dog ikke blive set af administratorer, medmindre de starter enheden ved hjælp af et gendannelsesmiljø eller gennem andre diagnostiske værktøjer, hvilket gør det ret nemt at gå glip af.
Efter kryptering af drevene sletter trusselsaktøren BitLocker-beskytterne (f.eks. TPM, PIN-kode, startnøgle, adgangskode, gendannelsesadgangskode, gendannelsesnøgle) for at nægte offeret enhver mulighed for at gendanne BitLockers krypteringsnøgle, som sendes til angriberen.
Nøglen, der genereres til kryptering af filer, er en 64-tegns kombination af tilfældig multiplikation og erstatning af en variabel med 0-9 tal, specialtegn og den holoalfabetiske sætning 'Den hurtige brune ræv hopper over den dovne hund.' Nøglen leveres gennem TryCloudflare-værktøjet, en legitim service for udviklere til at eksperimentere med CloudFlares tunnel uden at tilføje et websted til CloudFlares DNS.
I den sidste fase af angrebet tvinger ShrinkLocker systemet til at lukke ned for at alle ændringerne træder i kraft og efterlade brugeren med drevene låst og ingen BitLocker-gendannelsesmuligheder.
ShrinkLocker Threat Actors er muligvis ikke økonomisk drevet
BitLocker tilbyder muligheden for at lave en personlig besked på gendannelsesskærme, hvilket giver en ideel platform til at vise en afpresningsbesked til ofre. Fraværet af en fremtrædende fremvist løsesumseddel og en e-mail, der blot er udpeget som en drev-etiket, kan tyde på, at disse angreb er beregnet til at være mere destruktive i stedet for at være drevet af økonomiske motiver.
Forskere har afsløret, at ShrinkLocker manifesterer sig i flere varianter og er blevet indsat mod en regeringsenhed, såvel som organisationer inden for stål- og vaccinefremstillingssektoren i Mexico, Indonesien og Jordan.
Virksomheder, der anvender BitLocker på deres systemer, rådes kraftigt til at sikre sikker opbevaring af gendannelsesnøgler og vedligeholde regelmæssige offline sikkerhedskopier, der testes med jævne mellemrum. Endvidere opfordres organisationer til at implementere en korrekt konfigureret Endpoint Protection Platform (EPP)-løsning til at opdage forsøg på BitLocker-misbrug, håndhæve minimale brugerrettigheder, muliggøre omfattende logning og overvågning af netværkstrafik (inklusive både GET- og POST-anmodninger), spore hændelser forbundet med VBS- og PowerShell-udførelse og log relevante scripts.
ShrinkLocker Ransomware Video
Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.
