ShrinkLocker Ransomware

Do Mezo. Ransomware. godine

Prevedi na:

Brojni operateri ransomwarea dovode u pitanje nužnost integriranja mehanizma za kripto zaključavanje u svoje prijetnje zlonamjernim softverom, s obzirom na dostupnost Microsoftovog robusnog softvera za šifriranje unutar Windowsa. Jedan značajan primjer koji su istaknuli stručnjaci za kibernetičku sigurnost je ShrinkLocker. Ova varijanta ransomwarea uspostavlja novu particiju za pokretanje za šifriranje korporativnih sustava koji koriste Windows BitLocker.

Sadržaj

Akteri prijetnje zaključavaju podatke zlouporabom legitimne Windows značajke

Slučajevi ransomwarea koji koriste BitLocker za šifriranje računala nisu neuobičajeni. U jednom slučaju, prijetnja je iskoristila ovu sigurnosnu značajku unutar Windowsa za šifriranje 100 TB podataka na 40 poslužitelja u bolnici u Belgiji. Slično je drugi napadač upotrijebio BitLocker za šifriranje sustava koji pripadaju moskovskom proizvođaču i distributeru mesa. Microsoft je izdao upozorenje u rujnu 2022. otkrivajući da je napadač kojeg sponzorira iranska država upotrijebio BitLocker za šifriranje sustava koji pokreću Windows 10, Windows 11 ili Windows Server 2016 i novije.

Međutim, nakon pomnog proučavanja ShrinkLockera, stručnjaci upozoravaju da ova prijetnja pokazuje prethodno neobjavljene značajke usmjerene na pojačavanje opsega učinka napada.

ShrinkLocker se izvršava samo kada su zadovoljene određene specifikacije

ShrinkLocker, kodiran u Visual Basic Scripting (VBScript), jeziku koji je Microsoft predstavio davne 1996. godine i koji je sada na izlasku. Među svojim funkcionalnostima, prijetnja demonstrira sposobnost identificiranja određene verzije sustava Windows koja se izvodi na ciljnom računalu korištenjem Windows Management Instrumentation (WMI) s klasom Win32_OperatingSystem.

Napad se nastavlja samo pod određenim uvjetima, kao što je trenutna domena koja odgovara meti i verzija operativnog sustava (OS) koja je novija od Viste. U suprotnom, ShrinkLocker se automatski zaključuje i sam se briše. Kada meta zadovolji kriterije napada, zlonamjerni softver koristi uslužni program diskovnog dijela u sustavu Windows kako bi smanjio svaku particiju koja nije za pokretanje sustava za 100 MB, dijeleći nedodijeljeni prostor na nove primarne volumene identičnih veličina.

Istraživači primjećuju da u sustavima Windows 2008 i 2012 ShrinkLocker Ransomware u početku čuva datoteke za pokretanje zajedno s indeksom drugih svezaka. Slične operacije promjene veličine provode se na drugim verzijama Windows OS-a, iako s različitim segmentima koda, kao što je navedeno u tehničkoj analizi istraživača. Nakon toga, zlonamjerni softver koristi alat naredbenog retka BCDEdit za ponovno instaliranje datoteka za pokretanje na novogeneriranim particijama.

Ransomware ShrinkLocker čini podatke na cijelim particijama pogona neupotrebljivima

ShrinkLocker također mijenja unose registra kako bi onemogućio veze s udaljenom radnom površinom ili omogućio BitLocker enkripciju na hostovima bez Trusted Platform Module (TPM). Ovaj namjenski čip pruža sigurnosne funkcije temeljene na hardveru.

Prijetnja iza ShrinkLockera ne ispušta datoteku s otkupninom kako bi uspostavila komunikacijski kanal sa žrtvom. Umjesto toga, daju adresu e-pošte za kontakt (onboardingbinder@proton.me, conspiracyid9@protonmail.com) kao oznaku novih particija za pokretanje. Međutim, ovu oznaku administratori neće vidjeti osim ako ne pokreću uređaj pomoću okruženja za oporavak ili putem drugih dijagnostičkih alata, zbog čega ju je prilično lako propustiti.

Nakon šifriranja diskova, akter prijetnje briše zaštitu BitLockera (npr. TPM, PIN, ključ za pokretanje, lozinku, lozinku za oporavak, ključ za oporavak) kako bi žrtvi uskratio bilo kakvu mogućnost oporavka BitLockerovog ključa za šifriranje, koji se šalje napadaču.

Ključ generiran za šifriranje datoteka je kombinacija od 64 znaka nasumičnog množenja i zamjene varijable brojevima od 0-9, posebnim znakovima i holoabecednom rečenicom 'Brza smeđa lisica preskače lijenog psa.' Ključ se isporučuje putem alata TryCloudflare, legitimne usluge za razvojne programere da eksperimentiraju s CloudFlareovim tunelom bez dodavanja web mjesta u CloudFlareov DNS.

U završnoj fazi napada, ShrinkLocker prisiljava sustav da se isključi kako bi sve promjene stupile na snagu i ostavio korisnika s diskovima zaključanim i bez mogućnosti oporavka BitLockera.

Akteri prijetnje ShrinkLockera možda nisu financijski vođeni

BitLocker nudi opciju izrade personalizirane poruke na zaslonima za oporavak, pružajući idealnu platformu za prikazivanje poruka o iznuđivanju žrtvama. Nepostojanje vidljivo prikazane poruke o otkupnini i e-pošte koja je samo označena kao oznaka pogona može sugerirati da su ovi napadi namjeravali biti destruktivnije prirode, a ne vođeni financijskim motivima.

Istraživači su otkrili da se ShrinkLocker manifestira u više varijanti i da je raspoređen protiv vladinog entiteta, kao i organizacija unutar sektora proizvodnje čelika i cjepiva u Meksiku, Indoneziji i Jordanu.

Tvrtkama koje koriste BitLocker na svojim sustavima toplo se savjetuje da osiguraju sigurnu pohranu ključeva za oporavak i održavaju redovite izvanmrežne sigurnosne kopije koje se povremeno testiraju. Nadalje, organizacije se pozivaju da implementiraju ispravno konfigurirano rješenje Endpoint Protection Platform (EPP) za otkrivanje pokušaja zlouporabe BitLockera, nametanje minimalnih korisničkih povlastica, omogućavanje opsežnog bilježenja i nadzora mrežnog prometa (uključujući i GET i POST zahtjeve), praćenje događaja povezanih s Izvršenje VBS-a i PowerShell-a i zapisivanje relevantnih skripti.