ShrinkLocker Ransomware

Mezo -ra Ransomware-ben

Fordítás ide:

Számos zsarolóprogram-üzemeltető megkérdőjelezi, hogy szükséges-e kripto-zárolási mechanizmust integrálni a rosszindulatú programokba, mivel a Microsoft robusztus titkosító szoftvere elérhető a Windows rendszeren belül. A kiberbiztonsági szakértők által kiemelt példa a ShrinkLocker. Ez a zsarolóvírus-változat új rendszerindító partíciót hoz létre a Windows BitLockert használó vállalati rendszerek titkosításához.

Tartalomjegyzék

A fenyegető szereplők zárolják az adatokat a jogos Windows funkcióval való visszaéléssel

Nem ritkák az olyan zsarolóprogramok, amelyek BitLockert használnak a számítógépek titkosítására. Egy esetben egy fenyegetettség szereplője kihasználta a Windows biztonsági funkcióját, hogy 100 TB adatot titkosítson 40 szerveren egy belgiumi kórházban. Hasonlóképpen egy másik támadó a BitLockert használta egy moszkvai székhelyű hústermelő és -terjesztő rendszereinek titkosítására. A Microsoft 2022 szeptemberében figyelmeztetést adott ki, amelyben felfedte, hogy egy iráni állam által támogatott támadó a BitLocker segítségével titkosította a Windows 10, Windows 11 vagy Windows Server 2016 és újabb rendszereket futtató rendszereket.

A ShrinkLocker átvizsgálása során azonban a szakértők arra figyelmeztetnek, hogy ez a fenyegetés korábban fel nem tárt tulajdonságokat mutat, amelyek célja a támadás hatásának felerősítése.

A ShrinkLocker csak akkor kerül végrehajtásra, ha bizonyos előírások teljesülnek

A ShrinkLocker a Visual Basic Scripting (VBScript) nyelven van kódolva, amely nyelvet a Microsoft még 1996-ban vezette be, és most kivonul. Funkciói között a fenyegetés megmutatja, hogy a Windows Management Instrumentation (WMI) és a Win32_OperatingSystem osztály segítségével képes azonosítani a célgépen futó adott Windows-verziót.

A támadás csak meghatározott feltételek mellett folytatódik, például a célnak megfelelő aktuális tartomány és az operációs rendszer (OS) verziója újabb, mint a Vista. Ellenkező esetben a ShrinkLocker automatikusan befejeződik, és önmagát törli. Ha a célpont megfelel a támadás feltételeinek, a rosszindulatú program a Windows lemezrész segédprogramját használja, hogy minden nem rendszerindító partíciót 100 MB-tal csökkentsen, és a fel nem osztott területet azonos méretű új elsődleges kötetekre osztja fel.

A kutatók megjegyzik, hogy a Windows 2008 és 2012 rendszerben a ShrinkLocker Ransomware kezdetben megőrzi a rendszerindító fájlokat a többi kötet indexével együtt. Hasonló átméretezési műveleteket hajtanak végre más Windows operációs rendszer verziókon is, bár eltérő kódszegmensekkel, amint azt a kutatók technikai elemzése vázolja. Ezt követően a rosszindulatú program a BCDEdit parancssori eszközt használja a rendszerindító fájlok újratelepítésére az újonnan létrehozott partíciókon.

A ShrinkLocker Ransomware a teljes meghajtópartíción lévő adatokat használhatatlanná teszi

A ShrinkLocker emellett módosítja a beállításjegyzék-bejegyzéseket, hogy letiltja a távoli asztali kapcsolatokat, vagy engedélyezze a BitLocker titkosítást a Trusted Platform Module (TPM) nélküli gazdagépeken. Ez a dedikált chip hardver alapú, biztonsággal kapcsolatos funkciókat biztosít.

A ShrinkLocker mögött álló fenyegetés szereplője nem dob el váltságdíj-fájlt, hogy kommunikációs csatornát hozzon létre az áldozattal. Ehelyett egy kapcsolattartási e-mail címet (onboardingbinder@proton.me, conspiracyid9@protonmail.com) adnak meg az új rendszerindító partíciók címkéjeként. Ezt a címkét azonban az adminisztrátorok csak akkor fogják látni, ha helyreállító környezettel vagy más diagnosztikai eszközökkel indítják el az eszközt, így meglehetősen könnyen kihagyható.

A meghajtók titkosítása után a fenyegetés szereplője törli a BitLocker-védőket (pl. TPM, PIN, indítókulcs, jelszó, helyreállítási jelszó, helyreállítási kulcs), hogy megtagadja az áldozattól a támadónak küldött BitLocker titkosítási kulcsának visszaállítását.

A fájlok titkosításához generált kulcs egy 64 karakterből álló kombináció véletlenszerű szorzásból és egy változó 0-9 közötti számokkal, speciális karakterekkel, valamint a „A gyors barna róka átugrik a lusta kutyát” holoalfabetikus mondattal. A kulcsot a TryCloudflare eszközön keresztül szállítják, amely egy legitim szolgáltatás, amellyel a fejlesztők kísérletezhetnek a CloudFlare alagútjával anélkül, hogy webhelyet adnának hozzá a CloudFlare DNS-éhez.

A támadás utolsó szakaszában a ShrinkLocker leállásra kényszeríti a rendszert, hogy az összes módosítás érvénybe lépjen, és a felhasználónak a meghajtók zárolva maradjanak, és a BitLocker helyreállítási lehetőségei nélkül maradjanak.

Előfordulhat, hogy a ShrinkLocker fenyegetés szereplőit nem pénzügyi vezérelte

A BitLocker lehetőséget kínál személyre szabott üzenetek létrehozására a helyreállítási képernyőkön, ideális platformot biztosítva a zsarolási üzenetek áldozatoknak történő megjelenítéséhez. A jól látható váltságdíj-levél és a pusztán meghajtó címkeként megjelölt e-mail hiánya azt sugallhatja, hogy ezek a támadások inkább pusztító jellegűek, nem pedig pénzügyi indítékok.

A kutatók rájöttek, hogy a ShrinkLocker több változatban is megnyilvánul, és bevetették egy kormányzati szervezet, valamint az acél- és vakcinagyártó szektor szervezetei ellen Mexikóban, Indonéziában és Jordániában.

A rendszereiken BitLockert alkalmazó cégeknek erősen ajánlott a helyreállítási kulcsok biztonságos tárolása, valamint a rendszeres offline biztonsági mentések készítése, amelyeket rendszeresen tesztelnek. Ezenkívül a szervezeteket arra kérik, hogy helyezzenek üzembe egy megfelelően konfigurált Endpoint Protection Platform (EPP) megoldást a BitLocker-visszaélési kísérletek észlelésére, minimális felhasználói jogosultságok érvényesítésére, a hálózati forgalom átfogó naplózására és figyelésére (beleértve a GET és POST kéréseket is), valamint a kapcsolódó események nyomon követésére. VBS és PowerShell végrehajtás, és naplózza a vonatkozó szkripteket.