ShrinkLocker 랜섬웨어
수많은 랜섬웨어 운영자는 Windows에서 Microsoft의 강력한 암호화 소프트웨어를 사용할 수 있는 상황에서 암호화 잠금 메커니즘을 맬웨어 위협에 통합해야 할 필요성에 대해 의문을 제기하고 있습니다. 사이버 보안 전문가가 강조한 주목할만한 사례 중 하나는 ShrinkLocker입니다. 이 랜섬웨어 변종은 Windows BitLocker를 활용하여 기업 시스템을 암호화하기 위해 새로운 부팅 파티션을 설정합니다.
목차
위협 행위자는 합법적인 Windows 기능을 남용하여 데이터를 잠급니다.
BitLocker를 사용하여 컴퓨터를 암호화하는 랜섬웨어 사례는 드물지 않습니다. 한 사례에서는 위협 행위자가 Windows 내 이 보안 기능을 활용하여 벨기에 병원의 40개 서버에 걸쳐 100TB의 데이터를 암호화했습니다. 마찬가지로, 또 다른 공격자는 BitLocker를 활용하여 모스크바에 있는 육류 생산업체 및 유통업체의 시스템을 암호화했습니다. Microsoft는 2022년 9월 경고를 발표하여 이란의 정부 지원을 받는 공격자가 BitLocker를 사용하여 Windows 10, Windows 11 또는 Windows Server 2016 이상을 실행하는 시스템을 암호화했다는 사실을 밝혔습니다.
그러나 전문가들은 ShrinkLocker를 면밀히 조사하면서 이 위협이 공격의 영향 범위를 확대하기 위한 이전에 공개되지 않은 기능을 보여준다고 경고했습니다.
ShrinkLocker는 특정 사양이 충족되는 경우에만 실행됩니다.
VBScript(Visual Basic Scripting)로 코딩된 ShrinkLocker는 Microsoft가 1996년에 도입한 언어로 현재 출시되고 있습니다. 해당 기능 중 위협은 Win32_OperatingSystem 클래스와 함께 WMI(Windows Management Instrumentation)를 활용하여 대상 시스템에서 실행 중인 특정 Windows 버전을 식별하는 기능을 보여줍니다.
공격은 현재 도메인이 대상과 일치하고 운영체제(OS) 버전이 비스타보다 최신인 등 특정 조건에서만 진행된다. 그렇지 않으면 ShrinkLocker가 자동으로 종료되고 자체 삭제됩니다. 대상이 공격 기준을 충족하면 악성코드는 Windows의 디스크 부분 유틸리티를 활용하여 모든 비부팅 파티션을 100MB씩 축소하고 할당되지 않은 공간을 동일한 크기의 새로운 기본 볼륨으로 나눕니다.
연구원들은 Windows 2008 및 2012에서 ShrinkLocker 랜섬웨어가 초기에 다른 볼륨의 인덱스와 함께 부팅 파일을 보존한다는 점에 주목했습니다. 연구원의 기술 분석에 설명된 대로 다른 코드 세그먼트를 사용하더라도 다른 Windows OS 버전에서도 유사한 크기 조정 작업이 수행됩니다. 이후 악성코드는 BCDEdit 명령줄 도구를 사용하여 새로 생성된 파티션에 부팅 파일을 다시 설치합니다.
ShrinkLocker 랜섬웨어는 전체 드라이브 파티션의 데이터를 사용할 수 없게 만듭니다.
ShrinkLocker는 또한 레지스트리 항목을 수정하여 원격 데스크톱 연결을 비활성화하거나 TPM(신뢰할 수 있는 플랫폼 모듈)이 없는 호스트에서 BitLocker 암호화를 활성화합니다. 이 전용 칩은 하드웨어 기반의 보안 관련 기능을 제공합니다.
ShrinkLocker 배후의 위협 행위자는 피해자와 통신 채널을 구축하기 위해 몸값 파일을 드롭하지 않습니다. 대신 새 부팅 파티션의 레이블로 연락처 이메일 주소(onboardingbinder@proton.me, conspiracyid9@protonmail.com)를 제공합니다. 그러나 복구 환경을 사용하거나 다른 진단 도구를 통해 장치를 부팅하지 않는 한 관리자는 이 레이블을 볼 수 없으므로 놓치기 쉽습니다.
드라이브를 암호화한 후 위협 행위자는 BitLocker 보호기(예: TPM, PIN, 시작 키, 비밀번호, 복구 비밀번호, 복구 키)를 삭제하여 피해자가 공격자에게 전송되는 BitLocker 암호화 키를 복구할 수 있는 모든 옵션을 거부합니다.
파일 암호화를 위해 생성된 키는 0~9의 숫자, 특수문자, 홀로알파벳 문장 '빠른 갈색 여우가 게으른 개를 뛰어넘는다'라는 무작위 곱셈과 변수 치환을 조합한 64자 조합이다. 키는 개발자가 CloudFlare의 DNS에 사이트를 추가하지 않고도 CloudFlare의 Tunnel을 실험할 수 있는 합법적인 서비스인 TryCloudflare 도구를 통해 전달됩니다.
공격의 마지막 단계에서 ShrinkLocker는 모든 변경 사항을 적용하기 위해 시스템을 강제 종료하고 사용자는 드라이브를 잠긴 상태로 유지하고 BitLocker 복구 옵션은 제공하지 않습니다.
ShrinkLocker 위협 행위자는 재정적으로 주도적이지 않을 수 있습니다
BitLocker는 복구 화면에서 개인화된 메시지를 작성하는 옵션을 제공하여 피해자에게 강탈 메시지를 표시하기 위한 이상적인 플랫폼을 제공합니다. 눈에 띄게 표시되는 몸값 메모와 단순히 드라이브 레이블로 지정된 이메일이 없다는 사실은 이러한 공격이 재정적 동기에 의한 것보다 본질적으로 더 파괴적인 의도를 갖고 있음을 암시할 수 있습니다.
연구원들은 ShrinkLocker가 다양한 변종으로 나타나며 정부 기관은 물론 멕시코, 인도네시아, 요르단의 철강 및 백신 제조 부문 조직을 대상으로 배포되었다는 사실을 발견했습니다.
시스템에 BitLocker를 사용하는 회사는 복구 키를 안전하게 저장하고 주기적으로 테스트되는 정기적인 오프라인 백업을 유지하는 것이 좋습니다. 또한 조직은 BitLocker 남용 시도를 감지하고, 최소한의 사용자 권한을 적용하고, 네트워크 트래픽(GET 및 POST 요청 모두 포함)에 대한 포괄적인 로깅 및 모니터링을 활성화하고, VBS 및 PowerShell 실행, 관련 스크립트 기록.
ShrinkLocker 랜섬웨어 비디오
팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.
