ShrinkLocker Ransomware
Lukuisat ransomware-operaattorit kyseenalaistavat salauksen lukitusmekanismin integroinnin haittaohjelmauhkiinsa, koska Microsoftin vankka salausohjelmisto on saatavilla Windowsissa. Yksi kyberturvallisuusasiantuntijoiden korostama merkittävä esimerkki on ShrinkLocker. Tämä kiristysohjelmaversio luo uuden käynnistysosion Windows BitLockeria käyttävien yritysjärjestelmien salaamiseksi.
Sisällysluettelo
Uhkatoimijat lukitsevat tiedot väärinkäyttäen laillista Windowsin ominaisuutta
Tapaukset, joissa kiristysohjelmat käyttävät BitLockeria tietokoneiden salaamiseen, eivät ole harvinaisia. Yhdessä tapauksessa uhkatekijä hyödynsi tätä suojausominaisuutta Windowsin sisällä salatakseen 100 Tt dataa 40 palvelimella Belgiassa sijaitsevassa sairaalassa. Vastaavasti toinen hyökkääjä käytti BitLockeria salatakseen järjestelmiä, jotka kuuluivat Moskovan lihantuottajalle ja -jakelijalle. Microsoft antoi syyskuussa 2022 varoituksen, jossa paljastui, että Iranin valtion tukema hyökkääjä oli käyttänyt BitLockeria salaamaan järjestelmiä, joissa oli Windows 10, Windows 11 tai Windows Server 2016 tai uudempi.
Tutkiessaan ShrinkLockeria asiantuntijat kuitenkin varoittavat, että tässä uhassa on aiemmin julkistamattomia ominaisuuksia, joiden tarkoituksena on vahvistaa hyökkäyksen vaikutusta.
ShrinkLocker suoritetaan vain, kun tietyt vaatimukset täyttyvät
ShrinkLocker, koodattu Visual Basic Scripting (VBScript) -kielellä, jonka Microsoft esitteli jo vuonna 1996 ja on nyt matkalla ulos. Toimintojensa joukossa uhka osoittaa kyvyn tunnistaa kohdekoneessa käytettävä Windows-versio käyttämällä Windows Management Instrumentationia (WMI) Win32_OperatingSystem-luokan kanssa.
Hyökkäys etenee vain tietyissä olosuhteissa, kuten nykyinen kohdetta vastaava verkkotunnus ja käyttöjärjestelmän (OS) versio on Vistaa uudempi. Muussa tapauksessa ShrinkLocker päättää automaattisesti ja poistaa itsensä. Kun kohde täyttää hyökkäyksen kriteerit, haittaohjelma käyttää Windowsin levyosia-apuohjelmaa pienentämään jokaista ei-käynnistysosiota 100 megatavulla jakaen varaamattoman tilan uusiin, samankokoisiin ensisijaisiin taltioihin.
Tutkijat huomauttavat, että Windows 2008:ssa ja 2012:ssa ShrinkLocker Ransomware säilyttää aluksi käynnistystiedostot muiden taltioiden indeksin ohella. Samanlaisia koonmuutosoperaatioita suoritetaan muissa Windows-käyttöjärjestelmän versioissa, vaikkakin eri koodisegmenteillä, kuten tutkijoiden teknisessä analyysissä on esitetty. Myöhemmin haittaohjelma käyttää BCDEdit-komentorivityökalua käynnistystiedostojen uudelleen asentamiseen äskettäin luotuihin osioihin.
ShrinkLocker Ransomware tekee kaikkien asemaosioiden tiedoista käyttökelvottomia
ShrinkLocker myös muokkaa rekisterimerkintöjä poistaakseen etätyöpöytäyhteydet käytöstä tai ottaakseen BitLocker-salauksen käyttöön isännissä ilman Trusted Platform Module (TPM) -moduulia. Tämä erillinen siru tarjoaa laitteistopohjaisia, turvallisuuteen liittyviä toimintoja.
ShrinkLockerin takana oleva uhkatekijä ei pudota lunnaita koskevaa tiedostoa luodakseen viestintäkanavan uhrin kanssa. Sen sijaan he antavat yhteyssähköpostiosoitteen (onboardingbinder@proton.me, conspiracyid9@protonmail.com) uusien käynnistysosioiden tunnisteeksi. Järjestelmänvalvojat eivät kuitenkaan näe tätä tarraa, elleivät he käynnistä laitetta palautusympäristön tai muiden diagnostiikkatyökalujen avulla, joten se on melko helppo ohittaa.
Asemien salaamisen jälkeen uhkatekijä poistaa BitLocker-suojat (esim. TPM, PIN, käynnistysavain, salasana, palautussalasana, palautusavain) estääkseen uhrilta mahdollisen palauttaa BitLockerin salausavainta, joka lähetetään hyökkääjälle.
Tiedostojen salaukseen luotu avain on 64 merkin yhdistelmä satunnaista kertolaskua ja muuttujan korvaamista 0-9 numeroilla, erikoismerkeillä ja holoaakkosellisella lauseella "Nopea ruskea kettu hyppää laiskan koiran yli". Avain toimitetaan TryCloudflare-työkalun kautta, joka on laillinen palvelu, jonka avulla kehittäjät voivat kokeilla CloudFlaren tunnelia lisäämättä sivustoa CloudFlaren DNS:ään.
Hyökkäyksen viimeisessä vaiheessa ShrinkLocker pakottaa järjestelmän sulkeutumaan, jotta kaikki muutokset tulevat voimaan, ja jättää käyttäjän asemat lukittuiksi eikä BitLocker-palautusvaihtoehtoja.
ShrinkLocker-uhkanäyttelijät eivät välttämättä ole taloudellisesti ohjattuja
BitLocker tarjoaa mahdollisuuden luoda yksilöllinen viesti palautusnäytöissä, mikä tarjoaa ihanteellisen alustan kiristysviestin näyttämiseen uhreille. Selkeästi esillä olevan lunnaita koskevan huomautuksen ja pelkän aseman etiketiksi tarkoitetun sähköpostin puuttuminen saattaa viitata siihen, että nämä hyökkäykset on tarkoitettu luonteeltaan tuhoisemmiksi taloudellisten syiden sijaan.
Tutkijat ovat havainneet, että ShrinkLocker esiintyy useissa muunnelmissa ja sitä on käytetty valtion yksikköä sekä teräs- ja rokotevalmistusalan organisaatioita vastaan Meksikossa, Indonesiassa ja Jordaniassa.
Yrityksiä, jotka käyttävät BitLockeria järjestelmissään, kehotetaan varmistamaan palautusavainten turvallinen tallennus ja ylläpitämään säännöllisiä offline-varmuuskopioita, jotka testataan säännöllisesti. Lisäksi organisaatioita kehotetaan ottamaan käyttöön oikein konfiguroitu Endpoint Protection Platform (EPP) -ratkaisu, joka havaitsee BitLockerin väärinkäyttöyritykset, pakottaa vähimmäiskäyttäjän oikeudet, mahdollistaa kattavan verkkoliikenteen kirjaamisen ja valvonnan (mukaan lukien sekä GET- että POST-pyynnöt), seuraa VBS- ja PowerShell-suoritus ja kirjaa asiaankuuluvat komentosarjat.
ShrinkLocker Ransomware Video
Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .
