باج افزار ShrinkLocker

با توجه به در دسترس بودن نرم‌افزار رمزگذاری قوی مایکروسافت در ویندوز، بسیاری از اپراتورهای باج‌افزار، لزوم ادغام مکانیزم قفل رمزنگاری را در تهدیدات بدافزار خود زیر سوال می‌برند. یکی از نمونه های قابل توجه که توسط کارشناسان امنیت سایبری برجسته شده است ShrinkLocker است. این نوع باج افزار یک پارتیشن بوت تازه برای رمزگذاری سیستم های شرکتی با استفاده از BitLocker ویندوز ایجاد می کند.

بازیگران تهدید با سوء استفاده از ویژگی قانونی ویندوز، داده ها را قفل می کنند

نمونه‌هایی از باج‌افزارهایی که از BitLocker برای رمزگذاری رایانه‌ها استفاده می‌کنند، غیرمعمول نیستند. در یک مورد، یک عامل تهدید از این ویژگی امنیتی در ویندوز برای رمزگذاری 100 ترابایت داده در 40 سرور در بیمارستانی در بلژیک استفاده کرد. به طور مشابه، مهاجم دیگری از BitLocker برای رمزگذاری سیستم های متعلق به یک تولید کننده و توزیع کننده گوشت مستقر در مسکو استفاده کرد. مایکروسافت در سپتامبر 2022 هشداری صادر کرد و فاش کرد که یک مهاجم تحت حمایت دولت ایران از BitLocker برای رمزگذاری سیستم‌های دارای ویندوز 10، ویندوز 11 یا ویندوز سرور 2016 و جدیدتر استفاده کرده است.

با این حال، پس از بررسی دقیق ShrinkLocker، کارشناسان هشدار می‌دهند که این تهدید دارای ویژگی‌هایی است که قبلاً فاش نشده بود و هدف آن تقویت میزان تأثیر حمله است.

ShrinkLocker فقط زمانی اجرا می شود که برخی از مشخصات رعایت شوند

ShrinkLocker، کدگذاری شده در Visual Basic Scripting (VBScript)، زبانی که توسط مایکروسافت در سال 1996 معرفی شد و اکنون در راه است. در میان عملکردهای آن، این تهدید توانایی شناسایی نسخه خاص ویندوز در حال اجرا بر روی دستگاه مورد نظر را با استفاده از ابزار مدیریت ویندوز (WMI) با کلاس Win32_OperatingSystem نشان می‌دهد.

حمله فقط تحت شرایط خاصی انجام می شود، مانند تطبیق دامنه فعلی با هدف و جدیدتر بودن نسخه سیستم عامل (OS) از Vista. در غیر این صورت، ShrinkLocker به طور خودکار نتیجه می گیرد و خود حذف می شود. هنگامی که هدف معیارهای حمله را برآورده می کند، بدافزار از ابزار بخش دیسک در ویندوز استفاده می کند تا هر پارتیشن غیر بوت را 100 مگابایت کوچک کند و فضای تخصیص نیافته را به حجم های اولیه جدید با اندازه های یکسان تقسیم کند.

محققان خاطرنشان می کنند که در ویندوز 2008 و 2012، باج افزار ShrinkLocker در ابتدا فایل های بوت را همراه با نمایه سایر حجم ها حفظ می کند. عملیات تغییر اندازه مشابه در سایر نسخه‌های سیستم‌عامل ویندوز انجام می‌شود، البته با بخش‌های کد متفاوت، همانطور که در تجزیه و تحلیل فنی محققان مشخص شد. متعاقباً، بدافزار از ابزار خط فرمان BCDEdit برای نصب مجدد فایل‌های بوت بر روی پارتیشن‌های ایجاد شده جدید استفاده می‌کند.

باج افزار ShrinkLocker داده های کل پارتیشن های درایو را غیرقابل استفاده می کند

ShrinkLocker همچنین ورودی‌های رجیستری را تغییر می‌دهد تا اتصالات دسک‌تاپ از راه دور را غیرفعال کند یا رمزگذاری BitLocker را در میزبان‌ها بدون ماژول پلتفرم مورد اعتماد (TPM) فعال کند. این تراشه اختصاصی عملکردهای مبتنی بر سخت افزار و مرتبط با امنیت را ارائه می دهد.

بازیگر تهدید پشت ShrinkLocker یک فایل باج را برای ایجاد یک کانال ارتباطی با قربانی رها نمی کند. در عوض، آنها یک آدرس ایمیل تماس (onboardingbinder@proton.me، conspiracyid9@protonmail.com) را به عنوان برچسب پارتیشن‌های بوت جدید ارائه می‌کنند. با این حال، این برچسب توسط مدیران دیده نمی‌شود مگر اینکه دستگاه را با استفاده از یک محیط بازیابی یا از طریق ابزارهای تشخیصی دیگر راه‌اندازی کنند، که از دست دادن آن را نسبتاً آسان می‌کند.

پس از رمزگذاری درایوها، عامل تهدید محافظ‌های BitLocker (به عنوان مثال، TPM، PIN، کلید راه‌اندازی، رمز عبور، رمز عبور بازیابی، کلید بازیابی) را حذف می‌کند تا قربانی را از هرگونه گزینه‌ای برای بازیابی کلید رمزگذاری BitLocker که برای مهاجم ارسال می‌شود، محروم کند.

کلید تولید شده برای رمزگذاری فایل ها ترکیبی 64 نویسه ای از ضرب تصادفی و جایگزینی یک متغیر با اعداد 0-9، کاراکترهای خاص و جمله هولالفبایی "روباه قهوه ای سریع از روی سگ تنبل می پرد" است. این کلید از طریق ابزار TryCloudflare ارائه می‌شود، سرویسی قانونی برای توسعه‌دهندگان تا بتوانند با تونل CloudFlare بدون افزودن سایتی به DNS CloudFlare آزمایش کنند.

در مرحله آخر حمله، ShrinkLocker سیستم را مجبور می‌کند تا برای اعمال تمام تغییرات خاموش شود و کاربر را با درایوهای قفل شده و گزینه‌های بازیابی BitLocker باقی بگذارد.

ممکن است بازیگران تهدید ShrinkLocker از نظر مالی هدایت نشوند

BitLocker گزینه ای برای ایجاد یک پیام شخصی بر روی صفحه های بازیابی ارائه می دهد که یک پلت فرم ایده آل برای نمایش پیام اخاذی به قربانیان ارائه می دهد. فقدان یک یادداشت باج به طور برجسته و یک ایمیل که صرفاً به عنوان برچسب درایو تعیین شده است، ممکن است نشان دهد که این حملات به جای انگیزه‌های مالی، ماهیت مخرب‌تری دارند.

محققان کشف کرده‌اند که ShrinkLocker در انواع مختلف ظاهر می‌شود و علیه یک نهاد دولتی و همچنین سازمان‌هایی در بخش‌های تولید فولاد و واکسن در مکزیک، اندونزی و اردن به کار گرفته شده است.

به شرکت‌هایی که از BitLocker در سیستم‌های خود استفاده می‌کنند، اکیداً توصیه می‌شود که از ذخیره‌سازی ایمن کلیدهای بازیابی اطمینان حاصل کنند و از پشتیبان‌گیری آفلاین منظم که به صورت دوره‌ای آزمایش می‌شوند، نگهداری کنند. علاوه بر این، از سازمان‌ها خواسته می‌شود تا یک راه‌حل مناسب پیکربندی شده برای پلتفرم حفاظت نقطه پایانی (EPP) برای شناسایی تلاش‌ها برای سوء استفاده از BitLocker، اعمال حداقل امتیازات کاربر، فعال کردن ثبت و نظارت جامع بر ترافیک شبکه (شامل درخواست‌های GET و POST)، ردیابی رویدادهای مرتبط با اجرای VBS و PowerShell و لاگ اسکریپت های مربوطه.

باج افزار ShrinkLocker ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .