ShrinkLockeri lunavara
Arvestades Microsofti tugeva krüpteerimistarkvara kättesaadavust Windowsis, seavad paljud lunavaraoperaatorid kahtluse alla vajaduse integreerida oma pahavaraohtudesse krüptoluku mehhanism. Üks tähelepanuväärne näide, mille küberturvalisuse eksperdid rõhutasid, on ShrinkLocker. See lunavaravariant loob Windows BitLockerit kasutavate ettevõtete süsteemide krüptimiseks uue alglaadimispartitsiooni.
Sisukord
Ohunäitlejad lukustavad andmed seadusliku Windowsi funktsiooni kuritarvitamise kaudu
Juhud, kus lunavara kasutab arvutite krüptimiseks BitLockerit, ei ole haruldane. Ühel juhul kasutas ohutegija seda Windowsi turvafunktsiooni, et krüpteerida Belgia haiglas 40 serveris 100 TB andmeid. Samamoodi kasutas teine ründaja BitLockerit Moskvas asuvale lihatootjale ja -turustajale kuuluvate süsteemide krüptimiseks. Microsoft väljastas 2022. aasta septembris hoiatuse, milles selgus, et Iraani riiklikult toetatud ründaja oli kasutanud BitLockerit, et krüpteerida süsteeme, milles töötab Windows 10, Windows 11 või Windows Server 2016 ja uuemad.
Kuid ShrinkLockeri kontrollimisel hoiatavad eksperdid, et sellel ohul on varem avaldamata funktsioone, mille eesmärk on rünnaku mõju suurendamine.
ShrinkLocker käivitatakse ainult siis, kui teatud spetsifikatsioonid on täidetud
ShrinkLocker, mis on kodeeritud Visual Basic Scripting (VBScript) keeles, mille Microsoft tutvustas juba 1996. aastal ja on nüüd väljas. Oma funktsioonide hulgas näitab oht võimet tuvastada sihtmasinas töötav konkreetne Windowsi versioon, kasutades Windows Management Instrumentationi (WMI) koos klassiga Win32_OperatingSystem.
Rünnak toimub ainult teatud tingimustel, näiteks praegune domeen, mis vastab sihtmärgile, ja operatsioonisüsteemi (OS) versioon on Vistast uuem. Vastasel juhul lõpetab ShrinkLocker automaatselt ja kustutab end ise. Kui sihtmärk vastab rünnaku kriteeriumidele, kasutab pahavara Windowsi kettaosa utiliiti, et kahandada iga mittekäivituspartitsiooni 100 MB võrra, jagades eraldamata ruumi uuteks identse suurusega esmasteks köideteks.
Teadlased märgivad, et Windows 2008 ja 2012 puhul säilitab ShrinkLocker Ransomware alglaadimisfailid koos teiste köidete indeksiga. Sarnaseid suuruse muutmise toiminguid tehakse ka teistes Windowsi OS-i versioonides, ehkki erinevate koodisegmentidega, nagu on kirjeldatud teadlaste tehnilises analüüsis. Seejärel kasutab pahavara äsja loodud partitsioonidele alglaadimisfailide uuesti installimiseks käsurea tööriista BCDEdit.
ShrinkLockeri lunavara muudab kogu draivi partitsiooni andmed kasutuskõlbmatuks
ShrinkLocker muudab ka registrikirjeid, et keelata kaugtöölauaühendused või lubada BitLockeri krüptimist ilma usaldusväärse platvormi moodulita (TPM) hostides. See spetsiaalne kiip pakub riistvarapõhiseid turvalisusega seotud funktsioone.
ShrinkLockeri taga olev ähvardus ei loovuta ohvriga suhtluskanali loomiseks lunarahafaili. Selle asemel pakuvad nad uute alglaadimise partitsioonide sildina kontakti e-posti aadressi (onboardingbinder@proton.me, conspiracyid9@protonmail.com). Kuid administraatorid ei näe seda silti, välja arvatud juhul, kui nad käivitavad seadet taastekeskkonna või muude diagnostikatööriistade kaudu, mistõttu on see üsna lihtne märkamata jätta.
Pärast draivide krüptimist kustutab ohustaja BitLockeri kaitsmed (nt TPM, PIN, käivitusvõti, parool, taasteparool, taastevõti), et keelata ohvril igasugune võimalus taastada BitLockeri krüpteerimisvõti, mis saadetakse ründajale.
Failide krüptimiseks genereeritav võti on 64-märgiline kombinatsioon juhuslikust korrutamisest ja muutuja asendamisest 0–9 numbritega, erimärkidega ja holoalfabeetilisest lausest "Kiire pruun rebane hüppab üle laiska koera". Võti tarnitakse TryCloudflare'i tööriista kaudu, mis on seaduslik teenus, mille abil arendajad saavad katsetada CloudFlare'i tunneliga ilma saiti CloudFlare'i DNS-i lisamata.
Rünnaku viimases etapis sunnib ShrinkLocker süsteemi kõigi muudatuste jõustumiseks välja lülituma ja jätma kasutaja draivid lukustatuks ja BitLockeri taastamisvalikuid kasutamata.
ShrinkLockeri ohunäitlejad ei pruugi olla rahaliselt juhitud
BitLocker pakub võimalust koostada taasteekraanidel isikupärastatud sõnum, pakkudes ideaalset platvormi ohvritele väljapressimisteate kuvamiseks. Silmapaistvalt kuvatud lunarahateate ja pelgalt draivi märgistamiseks mõeldud meili puudumine võib viidata sellele, et need rünnakud on pigem hävitava iseloomuga kui rahalistel põhjustel ajendatud.
Teadlased on avastanud, et ShrinkLocker avaldub mitmes variandis ja seda on kasutatud valitsusüksuse, aga ka Mehhiko, Indoneesia ja Jordaania terase- ja vaktsiinitootmissektori organisatsioonide vastu.
Ettevõtetel, kes kasutavad oma süsteemides BitLockerit, soovitatakse tungivalt tagada taastevõtmete turvaline salvestus ja teha regulaarselt võrguühenduseta varukoopiaid, mida perioodiliselt testitakse. Lisaks soovitatakse organisatsioonidel juurutada korralikult konfigureeritud lõpp-punkti kaitseplatvormi (EPP) lahendus, et tuvastada BitLockeri kuritarvitamise katsed, jõustada minimaalsed kasutajaõigused, võimaldada võrguliikluse (sealhulgas nii GET- kui ka POST-päringud) igakülgset logimist ja jälgimist, jälgida teenusega seotud sündmusi. VBS-i ja PowerShelli täitmine ning asjakohaste skriptide logimine.
ShrinkLockeri lunavara Video
Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .
