ShrinkLocker Ransomware

עד Mezo ב-Ransomware

לתרגם ל:

מפעילי תוכנות כופר רבים מפקפקים בנחיצות של שילוב מנגנון נעילה קריפטו באיומי התוכנות הזדוניות שלהם, לאור הזמינות של תוכנת ההצפנה החזקה של מיקרוסופט בתוך Windows. מקרה בולט אחד שהודגש על ידי מומחי אבטחת סייבר הוא ShrinkLocker. גרסה זו של תוכנת כופר מקימה מחיצת אתחול חדשה להצפנת מערכות ארגוניות המשתמשות ב-Windows BitLocker.

תוכן העניינים

איומים על שחקנים נועלים נתונים על ידי ניצול לרעה של תכונת Windows לגיטימית

מקרים של תוכנות כופר המשתמשות ב-BitLocker להצפנת מחשבים אינם נדירים. באחד המקרים, שחקן איומים מינף את תכונת האבטחה הזו בתוך Windows כדי להצפין 100TB של נתונים על פני 40 שרתים בבית חולים בבלגיה. באופן דומה, תוקף אחר השתמש ב-BitLocker כדי להצפין מערכות השייכות ליצרן ומפיץ בשר ממוסקווה. מיקרוסופט פרסמה אזהרה בספטמבר 2022, וחשפה כי תוקף בחסות מדינה איראנית השתמש ב-BitLocker כדי להצפין מערכות עם Windows 10, Windows 11 או Windows Server 2016 ואילך.

עם זאת, לאחר בדיקה מדוקדקת של ShrinkLocker, מומחים מזהירים כי האיום הזה מציג מאפיינים שטרם נחשפו שמטרתם להגביר את מידת ההשפעה של המתקפה.

ShrinkLocker מופעל רק כאשר מפרטים מסוימים מתקיימים

ShrinkLocker, מקודדת ב-Visual Basic Scripting (VBScript), שפה שהוצגה על ידי מיקרוסופט כבר ב-1996 וכעת היא בדרכה החוצה. בין הפונקציונליות שלו, האיום מדגים את היכולת לזהות את גרסת Windows הספציפית הפועלת במחשב היעד על ידי שימוש ב-Windows Management Instrumentation (WMI) עם מחלקה Win32_OperatingSystem.

ההתקפה ממשיכה רק בתנאים ספציפיים, כגון הדומיין הנוכחי התואם את המטרה וגרסת מערכת ההפעלה (OS) חדשה יותר מ-Vista. אחרת, ShrinkLocker מסתיים באופן אוטומטי ומוחק מעצמו. כשהמטרה עומדת בקריטריונים של המתקפה, התוכנה הזדונית משתמשת בכלי השירות של חלקי הדיסק ב-Windows כדי לכווץ כל מחיצה שאינה מאתחלת ב-100MB, תוך חלוקת השטח הלא מוקצה לנפחים ראשיים חדשים בגדלים זהים.

החוקרים מציינים כי ב-Windows 2008 ו-2012, ShrinkLocker Ransomware משמרת בתחילה את קבצי האתחול יחד עם האינדקס של אמצעי אחסון אחרים. פעולות דומות לשינוי גודל מבוצעות בגרסאות אחרות של מערכת ההפעלה Windows, אם כי עם מקטעי קוד שונים, כפי שמתואר בניתוח הטכני של החוקרים. לאחר מכן, התוכנה הזדונית משתמשת בכלי שורת הפקודה BCDEdit כדי להתקין מחדש את קבצי האתחול במחיצות החדשות שנוצרו.

תוכנת הכופר של ShrinkLocker הופכת את הנתונים על מחיצות הכונן שלמות ללא שמיש

ShrinkLocker משנה גם ערכי רישום כדי להשבית חיבורי שולחן עבודה מרוחק או לאפשר הצפנת BitLocker במארחים ללא Trusted Platform Module (TPM). שבב ייעודי זה מספק פונקציות מבוססות חומרה הקשורות לאבטחה.

שחקן האיום שמאחורי ShrinkLocker לא משחרר קובץ כופר כדי ליצור ערוץ תקשורת עם הקורבן. במקום זאת, הם מספקים כתובת אימייל ליצירת קשר (onboardingbinder@proton.me, conspiracyid9@protonmail.com) כתווית של מחיצות האתחול החדשות. עם זאת, תווית זו לא תראה למנהלים אלא אם כן הם מאתחלים את המכשיר באמצעות סביבת שחזור או באמצעות כלי אבחון אחרים, מה שהופך אותו קל למדי לפספס.

לאחר הצפנת הכוננים, שחקן האיום מוחק את מגיני BitLocker (למשל, TPM, PIN, מפתח הפעלה, סיסמה, סיסמת שחזור, מפתח שחזור) כדי למנוע מהקורבן כל אפשרות לשחזר את מפתח ההצפנה של BitLocker, הנשלח לתוקף.

המפתח שנוצר להצפנת קבצים הוא שילוב של 64 תווים של כפל אקראי והחלפת משתנה במספרים 0-9, תווים מיוחדים והמשפט ההולאלפביתי 'השועל החום המהיר קופץ מעל הכלב העצלן'. המפתח מועבר דרך הכלי TryCloudflare, שירות לגיטימי למפתחים להתנסות במנהרה של CloudFlare מבלי להוסיף אתר ל-DNS של CloudFlare.

בשלב האחרון של המתקפה, ShrinkLocker מאלץ את המערכת להיסגר כדי שכל השינויים ייכנסו לתוקף ולהשאיר את המשתמש עם הכוננים נעולים וללא אפשרויות שחזור של BitLocker.

ייתכן ששחקני האיום של ShrinkLocker אינם מונעים כלכלית

BitLocker מציעה אפשרות ליצור הודעה מותאמת אישית על מסכי התאוששות, מה שמספק פלטפורמה אידיאלית להצגת הודעת סחיטה לקורבנות. היעדר פתק כופר המוצג בצורה בולטת ואימייל המיועד רק כתווית כונן עשוי להצביע על כך שהתקפות אלו נועדו להיות הרסניות יותר בטבען ולא מונעות ממניעים פיננסיים.

חוקרים גילו ש- ShrinkLocker מתבטא במספר גרסאות ונפרס נגד ישות ממשלתית, כמו גם ארגונים במגזרי פלדה וייצור חיסונים במקסיקו, אינדונזיה וירדן.

לחברות המעסיקות את BitLocker במערכות שלהן מומלץ מאוד להבטיח אחסון מאובטח של מפתחות שחזור ולשמור על גיבויים לא מקוונים קבועים הנבדקים מעת לעת. יתרה מזאת, ארגונים מתבקשים לפרוס פתרון פלטפורמת הגנת נקודות קצה (EPP) מוגדר כהלכה כדי לזהות ניסיונות של שימוש לרעה ב-BitLocker, לאכוף הרשאות משתמש מינימליות, לאפשר רישום וניטור מקיף של תעבורת רשת (כולל בקשות GET וגם בקשות POST), לעקוב אחר אירועים הקשורים ביצוע VBS ו-PowerShell, ורישום סקריפטים רלוונטיים.