ShrinkLocker Ransomware
Daugelis išpirkos reikalaujančių programų operatorių abejoja, ar reikia integruoti kriptovaliutų užrakinimo mechanizmą į savo kenkėjiškų programų grėsmes, atsižvelgiant į tai, kad sistemoje Windows yra prieinama patikima Microsoft šifravimo programinė įranga. Vienas žymus pavyzdys, kurį pabrėžė kibernetinio saugumo ekspertai, yra „ShrinkLocker“. Šis „ransomware“ variantas sukuria naują įkrovos skaidinį, skirtą užšifruoti įmonių sistemas, kuriose naudojama „Windows BitLocker“.
Turinys
Grėsmių veikėjai užrakina duomenis piktnaudžiaudami teisėta „Windows“ funkcija
Išpirkos reikalaujančios programinės įrangos atvejai, kai kompiuteriams šifruoti naudojama BitLocker, nėra neįprasti. Vienu atveju grėsmės veikėjas panaudojo šią „Windows“ saugos funkciją, kad užšifruotų 100 TB duomenų 40 serverių Belgijos ligoninėje. Panašiai kitas užpuolikas panaudojo „BitLocker“, kad užšifruotų sistemas, priklausančias Maskvoje įsikūrusiam mėsos gamintojui ir platintojui. 2022 m. rugsėjį „Microsoft“ paskelbė įspėjimą, kuriame atskleidė, kad Irano valstybės remiamas užpuolikas panaudojo „BitLocker“, kad užšifruotų sistemas, kuriose veikia „Windows 10“, „Windows 11“ arba „Windows Server 2016“ ir naujesnės versijos.
Tačiau nuodugniai išnagrinėję „ShrinkLocker“, ekspertai įspėja, kad ši grėsmė turi anksčiau neatskleistų savybių, kuriomis siekiama sustiprinti atakos poveikį.
„ShrinkLocker“ vykdomas tik tada, kai įvykdomos tam tikros specifikacijos
„ShrinkLocker“, užkoduota „Visual Basic Scripting“ (VBScript), kalba, kurią „Microsoft“ pristatė dar 1996 m., ir dabar ji ruošiasi išeiti. Tarp savo funkcijų, grėsmė demonstruoja gebėjimą identifikuoti konkrečią Windows versiją, veikiančią tiksliniame kompiuteryje, naudojant Windows Management Instrumentation (WMI) su Win32_OperatingSystem klase.
Ataka vyksta tik esant tam tikroms sąlygoms, pavyzdžiui, dabartinis domenas, atitinkantis tikslą, ir operacinės sistemos (OS) versija yra naujesnė nei Vista. Kitu atveju „ShrinkLocker“ baigia automatiškai ir savaime ištrina. Kai taikinys atitinka atakos kriterijus, kenkėjiška programa naudoja disko dalies įrankį sistemoje Windows, kad sumažintų kiekvieną ne įkrovos skaidinį 100 MB, padalydama nepaskirstytą vietą į naujus pirminius identiško dydžio tomus.
Tyrėjai pažymi, kad „Windows 2008“ ir „Windows 2012“ sistemoje „ShrinkLocker Ransomware“ iš pradžių išsaugo įkrovos failus kartu su kitų tomų indeksu. Panašios dydžio keitimo operacijos atliekamos ir kitose „Windows“ OS versijose, nors ir su skirtingais kodo segmentais, kaip nurodyta tyrėjų techninėje analizėje. Vėliau kenkėjiška programa naudoja komandinės eilutės įrankį BCDEdit, kad iš naujo įdiegtų įkrovos failus naujai sukurtuose skaidiniuose.
ShrinkLocker Ransomware padaro duomenis apie visus disko skaidinius netinkamus naudoti
„ShrinkLocker“ taip pat modifikuoja registro įrašus, kad išjungtų nuotolinius darbalaukio ryšius arba įgalintų „BitLocker“ šifravimą pagrindiniuose kompiuteriuose, kuriuose nėra patikimos platformos modulio (TPM). Šis specialus lustas teikia su aparatine įranga pagrįstas su saugumu susijusias funkcijas.
„ShrinkLocker“ grėsmės veikėjas neišmeta išpirkos bylos, kad sukurtų ryšio kanalą su auka. Vietoj to jie pateikia kontaktinį el. pašto adresą (onboardingbinder@proton.me, conspiracyid9@protonmail.com) kaip naujų įkrovos skaidinių etiketę. Tačiau šios etiketės administratoriai nematys, nebent jie paleis įrenginį naudodami atkūrimo aplinką arba kitus diagnostikos įrankius, todėl gana lengva jos nepastebėti.
Užšifravęs diskus, grėsmės veikėjas ištrina „BitLocker“ apsaugas (pvz., TPM, PIN, paleisties raktą, slaptažodį, atkūrimo slaptažodį, atkūrimo raktą), kad uždraustų aukai bet kokią galimybę atkurti „BitLocker“ šifravimo raktą, kuris siunčiamas užpuolikui.
Failų šifravimui sugeneruotas raktas yra 64 simbolių derinys, susidedantis iš atsitiktinio daugybos ir kintamojo pakeitimo 0–9 skaičiais, specialiais simboliais ir holoalfabetiniu sakiniu „Greita rudoji lapė peršoka per tingų šunį“. Raktas pateikiamas naudojant „TryCloudflare“ įrankį – teisėtą paslaugą, skirtą kūrėjams eksperimentuoti su „CloudFlare“ tuneliu nepridedant svetainės prie „CloudFlare“ DNS.
Paskutiniame atakos etape „ShrinkLocker“ priverčia sistemą išjungti, kad visi pakeitimai įsigaliotų, o vartotojas turėtų užrakinti diskus ir neturėti „BitLocker“ atkūrimo parinkčių.
„ShrinkLocker“ grėsmės veikėjai gali būti ne finansiškai skatinami
„BitLocker“ siūlo galimybę sukurti suasmenintą pranešimą atkūrimo ekranuose, o tai yra ideali platforma aukoms rodyti turto prievartavimo pranešimą. Jei nėra aiškiai rodomo išpirkos raštelio ir el. laiško, kuris yra tik kaip disko etiketė, gali reikšti, kad šios atakos yra labiau destruktyvios, o ne paskatintos finansiniais motyvais.
Tyrėjai atskleidė, kad „ShrinkLocker“ pasireiškia įvairiais variantais ir buvo panaudotas prieš vyriausybės subjektą, taip pat organizacijas plieno ir vakcinų gamybos sektoriuose Meksikoje, Indonezijoje ir Jordanijoje.
Įmonėms, naudojančioms „BitLocker“ savo sistemose, primygtinai rekomenduojama užtikrinti saugų atkūrimo raktų saugojimą ir reguliariai kurti atsargines kopijas neprisijungus, kurios periodiškai tikrinamos. Be to, organizacijos raginamos įdiegti tinkamai sukonfigūruotą Endpoint Protection Platform (EPP) sprendimą, kuris aptiktų bandymus piktnaudžiauti BitLocker, užtikrintų minimalias vartotojo teises, įgalintų visapusišką tinklo srauto registravimą ir stebėjimą (įskaitant GET ir POST užklausas), sektų įvykius, susijusius su VBS ir PowerShell vykdymas ir atitinkamų scenarijų registravimas.
ShrinkLocker Ransomware vaizdo įrašas
Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .
