ShrinkLocker Ransomware
Daudzi izspiedējvīrusu operatori apšauba nepieciešamību integrēt kriptogrāfijas bloķēšanas mehānismu savos ļaunprātīgas programmatūras draudos, ņemot vērā Microsoft spēcīgās šifrēšanas programmatūras pieejamību sistēmā Windows. Viens ievērojams gadījums, ko uzsvēra kiberdrošības eksperti, ir ShrinkLocker. Šis izpirkuma programmatūras variants izveido jaunu sāknēšanas nodalījumu, lai šifrētu korporatīvās sistēmas, izmantojot Windows BitLocker.
Satura rādītājs
Draudu dalībnieki bloķē datus, ļaunprātīgi izmantojot likumīgu Windows funkciju
Izpirkuma programmatūras gadījumi, kuros datoru šifrēšanai izmanto BitLocker, nav nekas neparasts. Vienā gadījumā draudu izpildītājs izmantoja šo drošības līdzekli sistēmā Windows, lai šifrētu 100 TB datu 40 serveros slimnīcā Beļģijā. Tāpat cits uzbrucējs izmantoja BitLocker, lai šifrētu sistēmas, kas pieder Maskavā bāzētam gaļas ražotājam un izplatītājam. Microsoft 2022. gada septembrī izdeva brīdinājumu, atklājot, ka Irānas valsts sponsorēts uzbrucējs bija izmantojis BitLocker, lai šifrētu sistēmas, kurās darbojas operētājsistēma Windows 10, Windows 11 vai Windows Server 2016 un jaunāka versija.
Tomēr, rūpīgi pārbaudot ShrinkLocker, eksperti brīdina, ka šim draudam ir iepriekš neizpaustas iezīmes, kuru mērķis ir pastiprināt uzbrukuma ietekmi.
ShrinkLocker tiek izpildīts tikai tad, ja ir izpildītas noteiktas specifikācijas
ShrinkLocker, kodē Visual Basic Scripting (VBScript) — valodā, ko Microsoft ieviesa tālajā 1996. gadā, un tagad tā ir ceļā. Starp tā funkcionalitātēm apdraudējums parāda spēju identificēt konkrēto Windows versiju, kas darbojas mērķa mašīnā, izmantojot Windows Management Instrumentation (WMI) ar Win32_OperatingSystem klasi.
Uzbrukums notiek tikai īpašos apstākļos, piemēram, pašreizējais domēns atbilst mērķim un operētājsistēmas (OS) versija ir jaunāka par Vista. Pretējā gadījumā ShrinkLocker pabeidz automātiski un izdzēš sevi. Kad mērķis atbilst uzbrukuma kritērijiem, ļaunprogrammatūra izmanto diska daļas utilītu sistēmā Windows, lai samazinātu katru ne-sāknēšanas nodalījumu par 100 MB, sadalot nepiešķirto vietu jaunos identiska izmēra primārajos sējumos.
Pētnieki atzīmē, ka operētājsistēmās Windows 2008 un 2012 ShrinkLocker Ransomware sākotnēji saglabā sāknēšanas failus kopā ar citu sējumu indeksu. Līdzīgas izmēra maiņas darbības tiek veiktas arī citās Windows OS versijās, lai gan ar dažādiem koda segmentiem, kā norādīts pētnieku tehniskajā analīzē. Pēc tam ļaunprātīgā programmatūra izmanto komandrindas rīku BCDEdit, lai atkārtoti instalētu sāknēšanas failus jaunizveidotajos nodalījumos.
ShrinkLocker Ransomware padara datus par visiem diska nodalījumiem nelietojamus
ShrinkLocker arī modificē reģistra ierakstus, lai atspējotu attālās darbvirsmas savienojumus vai iespējotu BitLocker šifrēšanu resursdatoros bez uzticamas platformas moduļa (TPM). Šī īpašā mikroshēma nodrošina uz aparatūru balstītas, ar drošību saistītas funkcijas.
ShrinkLocker draudu izpildītājs nenodod izpirkuma maksu, lai izveidotu saziņas kanālu ar upuri. Tā vietā tie nodrošina saziņas e-pasta adresi (onboardingbinder@proton.me, conspiracyid9@protonmail.com) kā jauno sāknēšanas nodalījumu etiķeti. Tomēr administratori neredzēs šo etiķeti, ja vien viņi nesāknēs ierīci, izmantojot atkopšanas vidi vai citus diagnostikas rīkus, tāpēc to ir diezgan viegli palaist garām.
Pēc disku šifrēšanas draudu izpildītājs dzēš BitLocker aizsargierīces (piemēram, TPM, PIN, starta atslēgu, paroli, atkopšanas paroli, atkopšanas atslēgu), lai liegtu cietušajam jebkuru iespēju atgūt BitLocker šifrēšanas atslēgu, kas tiek nosūtīta uzbrucējam.
Failu šifrēšanai ģenerētā atslēga ir 64 rakstzīmju kombinācija, kas sastāv no nejaušas reizināšanas un mainīgā lieluma aizstāšanas ar cipariem no 0 līdz 9, īpašām rakstzīmēm un holoalfabētisku teikumu “Ātrā brūnā lapsa lec pāri slinkajam suni”. Atslēga tiek piegādāta, izmantojot rīku TryCloudflare, kas ir likumīgs pakalpojums izstrādātājiem, lai eksperimentētu ar CloudFlare tuneli, nepievienojot vietni CloudFlare DNS.
Uzbrukuma pēdējā posmā ShrinkLocker piespiež sistēmu izslēgt, lai visas izmaiņas stātos spēkā, un atstāt lietotājam bloķētus diskus un bez BitLocker atkopšanas opcijām.
ShrinkLocker draudu aktieri var nebūt finansiāli vadīti
BitLocker piedāvā iespēju izveidot personalizētu ziņojumu atkopšanas ekrānos, nodrošinot ideālu platformu izspiešanas ziņojuma parādīšanai upuriem. Tas, ka nav redzama izpirkuma vēstule un e-pasts, kas norādīts tikai kā diska etiķete, var likt domāt, ka šiem uzbrukumiem ir vairāk postoša rakstura, nevis finansiālu motīvu vadīti.
Pētnieki ir atklājuši, ka ShrinkLocker izpaužas vairākos variantos un ir izmantots pret valdības iestādi, kā arī organizācijām tērauda un vakcīnu ražošanas nozarēs Meksikā, Indonēzijā un Jordānijā.
Uzņēmumiem, kas savās sistēmās izmanto BitLocker, ir ļoti ieteicams nodrošināt drošu atkopšanas atslēgu glabāšanu un regulāri veikt bezsaistes dublējumus, kas tiek periodiski pārbaudīti. Turklāt organizācijas tiek mudinātas izvietot pareizi konfigurētu Endpoint Protection Platform (EPP) risinājumu, lai atklātu BitLocker ļaunprātīgas izmantošanas mēģinājumus, ieviestu minimālas lietotāja privilēģijas, iespējotu visaptverošu tīkla trafika reģistrēšanu un uzraudzību (tostarp gan GET, gan POST pieprasījumus), izsekotu notikumus, kas saistīti ar VBS un PowerShell izpilde un attiecīgo skriptu reģistrēšana.
ShrinkLocker Ransomware video
Padoms. Ieslēdziet skaņu un skatieties video pilnekrāna režīmā .
