ShrinkLocker Ransomware

Μέχρι το Mezo το Ransomware

Μετάφραση σε:

Πολλοί χειριστές ransomware αμφισβητούν την αναγκαιότητα ενσωμάτωσης ενός μηχανισμού κλειδώματος κρυπτογράφησης στις απειλές κακόβουλου λογισμικού τους, δεδομένης της διαθεσιμότητας του ισχυρού λογισμικού κρυπτογράφησης της Microsoft στα Windows. Ένα αξιοσημείωτο παράδειγμα που επισημάνθηκε από ειδικούς στον τομέα της κυβερνοασφάλειας είναι το ShrinkLocker. Αυτή η παραλλαγή ransomware δημιουργεί ένα νέο διαμέρισμα εκκίνησης για την κρυπτογράφηση εταιρικών συστημάτων που χρησιμοποιούν Windows BitLocker.

Πίνακας περιεχομένων

Threat Actors Κλειδώνουν τα δεδομένα με κατάχρηση της νόμιμης λειτουργίας των Windows

Οι περιπτώσεις ransomware που χρησιμοποιούν το BitLocker για την κρυπτογράφηση υπολογιστών δεν είναι ασυνήθιστες. Σε μια περίπτωση, ένας παράγοντας απειλής χρησιμοποίησε αυτό το χαρακτηριστικό ασφαλείας στα Windows για να κρυπτογραφήσει 100 TB δεδομένων σε 40 διακομιστές σε ένα νοσοκομείο στο Βέλγιο. Ομοίως, ένας άλλος εισβολέας χρησιμοποίησε το BitLocker για να κρυπτογραφήσει συστήματα που ανήκουν σε παραγωγό και διανομέα κρέατος με έδρα τη Μόσχα. Η Microsoft εξέδωσε μια προειδοποίηση τον Σεπτέμβριο του 2022, αποκαλύπτοντας ότι ένας ιρανικός επιτιθέμενος είχε χρησιμοποιήσει το BitLocker για να κρυπτογραφήσει συστήματα με Windows 10, Windows 11 ή Windows Server 2016 και νεότερα.

Ωστόσο, κατά την εξονυχιστική εξέταση του ShrinkLocker, οι ειδικοί προειδοποιούν ότι αυτή η απειλή εμφανίζει χαρακτηριστικά που δεν είχαν αποκαλυφθεί προηγουμένως με στόχο την ενίσχυση της έκτασης του αντίκτυπου της επίθεσης.

Το ShrinkLocker εκτελείται μόνο όταν πληρούνται ορισμένες προδιαγραφές

ShrinkLocker, κωδικοποιημένη σε Visual Basic Scripting (VBScript), μια γλώσσα που εισήχθη από τη Microsoft πολύ πίσω το 1996 και τώρα βρίσκεται σε εξέλιξη. Μεταξύ των λειτουργιών της, η απειλή επιδεικνύει τη δυνατότητα αναγνώρισης της συγκεκριμένης έκδοσης των Windows που εκτελείται στο μηχάνημα προορισμού χρησιμοποιώντας το Windows Management Instrumentation (WMI) με την κλάση Win32_OperatingSystem.

Η επίθεση εκτελείται μόνο υπό συγκεκριμένες συνθήκες, όπως ο τρέχων τομέας που αντιστοιχεί στον στόχο και η έκδοση του λειτουργικού συστήματος (OS) είναι νεότερη από τα Vista. Διαφορετικά, το ShrinkLocker ολοκληρώνεται αυτόματα και αυτοδιαγράφεται. Όταν ο στόχος πληροί τα κριτήρια της επίθεσης, το κακόβουλο λογισμικό χρησιμοποιεί το βοηθητικό πρόγραμμα τμήματος δίσκου στα Windows για να συρρικνώσει κάθε διαμέρισμα χωρίς εκκίνηση κατά 100 MB, διαιρώντας τον μη εκχωρημένο χώρο σε νέους κύριους τόμους πανομοιότυπων μεγεθών.

Οι ερευνητές σημειώνουν ότι στα Windows 2008 και 2012, το ShrinkLocker Ransomware διατηρεί αρχικά τα αρχεία εκκίνησης μαζί με το ευρετήριο άλλων τόμων. Παρόμοιες λειτουργίες αλλαγής μεγέθους πραγματοποιούνται σε άλλες εκδόσεις λειτουργικού συστήματος Windows, αν και με διαφορετικά τμήματα κώδικα, όπως περιγράφεται στην τεχνική ανάλυση των ερευνητών. Στη συνέχεια, το κακόβουλο λογισμικό χρησιμοποιεί το εργαλείο γραμμής εντολών BCDEdit για να επανεγκαταστήσει τα αρχεία εκκίνησης στα διαμερίσματα που δημιουργήθηκαν πρόσφατα.

Το ShrinkLocker Ransomware καθιστά αχρησιμοποίητα τα δεδομένα σε ολόκληρα διαμερίσματα μονάδας δίσκου

Το ShrinkLocker τροποποιεί επίσης τις καταχωρίσεις μητρώου για να απενεργοποιήσει τις συνδέσεις απομακρυσμένης επιφάνειας εργασίας ή να ενεργοποιήσει την κρυπτογράφηση BitLocker σε κεντρικούς υπολογιστές χωρίς λειτουργική μονάδα αξιόπιστης πλατφόρμας (TPM). Αυτό το αποκλειστικό τσιπ παρέχει λειτουργίες που βασίζονται σε υλικό, που σχετίζονται με την ασφάλεια.

Ο ηθοποιός απειλών πίσω από το ShrinkLocker δεν αφήνει ένα αρχείο λύτρων για να δημιουργήσει ένα κανάλι επικοινωνίας με το θύμα. Αντίθετα, παρέχουν μια διεύθυνση email επικοινωνίας (onboardingbinder@proton.me, conspiracyid9@protonmail.com) ως ετικέτα των νέων διαμερισμάτων εκκίνησης. Ωστόσο, αυτή η ετικέτα δεν θα είναι ορατή από τους διαχειριστές εκτός και αν εκκινήσουν τη συσκευή χρησιμοποιώντας ένα περιβάλλον ανάκτησης ή μέσω άλλων διαγνωστικών εργαλείων, γεγονός που καθιστά αρκετά εύκολο να την χάσετε.

Μετά την κρυπτογράφηση των μονάδων δίσκου, ο παράγοντας απειλής διαγράφει τα προστατευτικά BitLocker (π.χ. TPM, PIN, κλειδί εκκίνησης, κωδικός πρόσβασης, κωδικός πρόσβασης ανάκτησης, κλειδί ανάκτησης) για να αρνηθεί στο θύμα οποιαδήποτε επιλογή να ανακτήσει το κλειδί κρυπτογράφησης του BitLocker, το οποίο αποστέλλεται στον εισβολέα.

Το κλειδί που δημιουργείται για την κρυπτογράφηση αρχείων είναι ένας συνδυασμός 64 χαρακτήρων τυχαίου πολλαπλασιασμού και αντικατάστασης μιας μεταβλητής με 0-9 αριθμούς, ειδικούς χαρακτήρες και την ολοαλφαβητική πρόταση «Η γρήγορη καφετιά αλεπού πηδά πάνω από τον τεμπέλικο σκύλο». Το κλειδί παραδίδεται μέσω του εργαλείου TryCloudflare, μιας νόμιμης υπηρεσίας για τους προγραμματιστές να πειραματίζονται με το CloudFlare's Tunnel χωρίς να προσθέτουν ιστότοπο στο DNS του CloudFlare.

Στο τελικό στάδιο της επίθεσης, το ShrinkLocker αναγκάζει το σύστημα να τερματιστεί για να τεθούν σε ισχύ όλες οι αλλαγές και να αφήσει τον χρήστη με τις μονάδες δίσκου κλειδωμένες και χωρίς επιλογές ανάκτησης BitLocker.

Οι ηθοποιοί απειλών ShrinkLocker ενδέχεται να μην οδηγούνται οικονομικά

Το BitLocker προσφέρει την επιλογή δημιουργίας εξατομικευμένου μηνύματος σε οθόνες ανάκτησης, παρέχοντας μια ιδανική πλατφόρμα για την εμφάνιση ενός μηνύματος εκβιασμού στα θύματα. Η απουσία ευδιάκριτου σημειώματος λύτρων και ενός email που ορίζεται απλώς ως ετικέτα μονάδας δίσκου μπορεί να υποδηλώνει ότι αυτές οι επιθέσεις προορίζονται να έχουν περισσότερο καταστροφικό χαρακτήρα παρά να οδηγούνται από οικονομικά κίνητρα.

Οι ερευνητές αποκάλυψαν ότι το ShrinkLocker εκδηλώνεται σε πολλές παραλλαγές και έχει αναπτυχθεί εναντίον μιας κυβερνητικής οντότητας, καθώς και εναντίον οργανισμών στους κλάδους κατασκευής χάλυβα και εμβολίων στο Μεξικό, την Ινδονησία και την Ιορδανία.

Συνιστάται στις εταιρείες που χρησιμοποιούν BitLocker στα συστήματά τους να διασφαλίζουν την ασφαλή αποθήκευση των κλειδιών ανάκτησης και να διατηρούν τακτικά αντίγραφα ασφαλείας εκτός σύνδεσης που ελέγχονται περιοδικά. Επιπλέον, οι οργανισμοί καλούνται να αναπτύξουν μια σωστά διαμορφωμένη λύση Endpoint Protection Platform (EPP) για τον εντοπισμό προσπαθειών κατάχρησης BitLocker, την επιβολή ελάχιστων δικαιωμάτων χρήστη, την πλήρη καταγραφή και παρακολούθηση της κυκλοφορίας δικτύου (συμπεριλαμβανομένων των αιτημάτων GET και POST), παρακολούθηση συμβάντων που σχετίζονται με Εκτέλεση VBS και PowerShell και καταγραφή σχετικών σεναρίων.