ShrinkLocker Ransomware
Banyak pengendali perisian tebusan mempersoalkan keperluan untuk menyepadukan mekanisme penguncian kripto ke dalam ancaman perisian hasad mereka, memandangkan ketersediaan perisian penyulitan teguh Microsoft dalam Windows. Satu contoh penting yang diketengahkan oleh pakar keselamatan siber ialah ShrinkLocker. Varian perisian tebusan ini mewujudkan partition but baharu untuk menyulitkan sistem korporat menggunakan Windows BitLocker.
Isi kandungan
Ancaman Mengunci Data dengan Menyalahgunakan Ciri Windows Sah
Contoh perisian tebusan yang menggunakan BitLocker untuk menyulitkan komputer adalah perkara biasa. Dalam satu kes, seorang pelaku ancaman memanfaatkan ciri keselamatan ini dalam Windows untuk menyulitkan 100TB data merentas 40 pelayan di sebuah hospital di Belgium. Begitu juga, penyerang lain menggunakan BitLocker untuk menyulitkan sistem milik pengeluar dan pengedar daging yang berpangkalan di Moscow. Microsoft mengeluarkan amaran pada September 2022, mendedahkan bahawa penyerang tajaan kerajaan Iran telah menggunakan BitLocker untuk menyulitkan sistem yang menjalankan Windows 10, Windows 11 atau Windows Server 2016 dan lebih baharu.
Walau bagaimanapun, apabila meneliti ShrinkLocker, pakar memberi amaran bahawa ancaman ini mempamerkan ciri yang tidak didedahkan sebelum ini bertujuan untuk menguatkan tahap kesan serangan.
ShrinkLocker Dilaksanakan Hanya Apabila Spesifikasi Tertentu Dipenuhi
ShrinkLocker, berkod dalam Visual Basic Scripting (VBScript), bahasa yang diperkenalkan oleh Microsoft pada tahun 1996 dan kini sedang dalam perjalanan keluar. Antara fungsinya, ancaman menunjukkan keupayaan untuk mengenal pasti versi Windows tertentu yang dijalankan pada mesin sasaran dengan menggunakan Instrumen Pengurusan Windows (WMI) dengan kelas Win32_OperatingSystem.
Serangan itu berlaku hanya dalam keadaan tertentu, seperti domain semasa yang sepadan dengan sasaran dan versi sistem pengendalian (OS) lebih baharu daripada Vista. Jika tidak, ShrinkLocker membuat kesimpulan secara automatik dan memadam sendiri. Apabila sasaran memenuhi kriteria serangan, perisian hasad menggunakan utiliti bahagian cakera dalam Windows untuk mengecilkan setiap partition bukan but sebanyak 100MB, membahagikan ruang yang tidak diperuntukkan kepada volum utama baharu dengan saiz yang sama.
Penyelidik ambil perhatian bahawa dalam Windows 2008 dan 2012, ShrinkLocker Ransomware pada mulanya mengekalkan fail but bersama dengan indeks volum lain. Operasi ubah saiz yang serupa dijalankan pada versi OS Windows yang lain, walaupun dengan segmen kod yang berbeza, seperti yang digariskan dalam analisis teknikal penyelidik. Selepas itu, perisian hasad menggunakan alat baris arahan BCDEdit untuk memasang semula fail but pada partition yang baru dijana.
ShrinkLocker Ransomware Menjadikan Data pada Keseluruhan Pemisahan Drive Tidak Dapat Digunakan
ShrinkLocker juga mengubah suai entri pendaftaran untuk melumpuhkan sambungan desktop jauh atau mendayakan penyulitan BitLocker pada hos tanpa Modul Platform Dipercayai (TPM). Cip khusus ini menyediakan fungsi berkaitan keselamatan berasaskan perkakasan.
Pelakon ancaman di belakang ShrinkLocker tidak menggugurkan fail tebusan untuk mewujudkan saluran komunikasi dengan mangsa. Sebaliknya, mereka memberikan alamat e-mel hubungan (onboardingbinder@proton.me, conspiracyid9@protonmail.com) sebagai label partition but baharu. Walau bagaimanapun, label ini tidak akan dilihat oleh pentadbir melainkan mereka but peranti menggunakan persekitaran pemulihan atau melalui alat diagnostik lain, menjadikannya agak mudah untuk terlepas.
Selepas menyulitkan pemacu, pelaku ancaman memadamkan pelindung BitLocker (cth, TPM, PIN, kunci permulaan, kata laluan, kata laluan pemulihan, kunci pemulihan) untuk menafikan mangsa sebarang pilihan untuk memulihkan kunci penyulitan BitLocker, yang dihantar kepada penyerang.
Kunci yang dijana untuk menyulitkan fail ialah gabungan 64 aksara pendaraban rawak dan penggantian pembolehubah dengan 0-9 nombor, aksara khas dan ayat holoalphabetic 'Musang coklat cepat melompat ke atas anjing malas.' Kuncinya dihantar melalui alat TryCloudflare, perkhidmatan yang sah untuk pembangun bereksperimen dengan Terowong CloudFlare tanpa menambah tapak pada DNS CloudFlare.
Pada peringkat akhir serangan, ShrinkLocker memaksa sistem untuk ditutup untuk semua perubahan berkuat kuasa dan membiarkan pengguna dengan pemacu terkunci dan tiada pilihan pemulihan BitLocker.
Pelakon Ancaman ShrinkLocker mungkin tidak Didorong Dari segi Kewangan
BitLocker menawarkan pilihan untuk mencipta mesej yang diperibadikan pada skrin pemulihan, menyediakan platform yang ideal untuk memaparkan mesej peras ugut kepada mangsa. Ketiadaan nota tebusan yang dipaparkan dengan jelas dan e-mel yang hanya ditetapkan sebagai label pemacu mungkin menunjukkan bahawa serangan ini bertujuan untuk menjadi lebih merosakkan dan bukannya didorong oleh motif kewangan.
Penyelidik telah menemui bahawa ShrinkLocker menjelma dalam pelbagai varian dan telah digunakan terhadap entiti kerajaan, serta organisasi dalam sektor pembuatan keluli dan vaksin di Mexico, Indonesia dan Jordan.
Syarikat yang menggunakan BitLocker pada sistem mereka sangat dinasihatkan untuk memastikan penyimpanan kunci pemulihan yang selamat dan mengekalkan sandaran luar talian biasa yang diuji secara berkala. Tambahan pula, organisasi digesa untuk menggunakan penyelesaian Endpoint Protection Platform (EPP) yang dikonfigurasikan dengan betul untuk mengesan percubaan penyalahgunaan BitLocker, menguatkuasakan keistimewaan pengguna yang minimum, membolehkan pembalakan komprehensif dan pemantauan trafik rangkaian (termasuk kedua-dua permintaan GET dan POST), menjejaki peristiwa yang dikaitkan dengan VBS dan pelaksanaan PowerShell, dan log skrip yang berkaitan.
Video ShrinkLocker Ransomware
Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .
