ShrinkLocker Ransomware
Tallrike løsepengevareoperatører stiller spørsmål ved nødvendigheten av å integrere en kryptolåsemekanisme i sine skadevaretrusler, gitt tilgjengeligheten av Microsofts robuste krypteringsprogramvare i Windows. Et bemerkelsesverdig tilfelle fremhevet av cybersikkerhetseksperter er ShrinkLocker. Denne løsepengevarevarianten etablerer en ny oppstartspartisjon for å kryptere bedriftssystemer som bruker Windows BitLocker.
Innholdsfortegnelse
Trusselskuespillere låser data ved å misbruke legitime Windows-funksjoner
Forekomster av løsepengevare som bruker BitLocker til å kryptere datamaskiner er ikke uvanlig. I ett tilfelle utnyttet en trusselaktør denne sikkerhetsfunksjonen i Windows for å kryptere 100 TB med data på tvers av 40 servere ved et sykehus i Belgia. På samme måte brukte en annen angriper BitLocker for å kryptere systemer som tilhører en Moskva-basert kjøttprodusent og -distributør. Microsoft ga ut en advarsel i september 2022, og avslørte at en iransk statsstøttet angriper hadde brukt BitLocker til å kryptere systemer som kjører Windows 10, Windows 11 eller Windows Server 2016 og nyere.
Etter å ha gransket ShrinkLocker, advarer eksperter imidlertid om at denne trusselen viser tidligere ikke avslørte funksjoner som tar sikte på å forsterke omfanget av angrepets virkning.
ShrinkLocker utføres bare når visse spesifikasjoner er oppfylt
ShrinkLocker, kodet i Visual Basic Scripting (VBScript), et språk introdusert av Microsoft helt tilbake i 1996 og er nå på vei ut. Blant funksjonene demonstrerer trusselen evnen til å identifisere den spesifikke Windows-versjonen som kjører på målmaskinen ved å bruke Windows Management Instrumentation (WMI) med Win32_OperatingSystem-klassen.
Angrepet fortsetter bare under spesifikke forhold, for eksempel at gjeldende domene samsvarer med målet og operativsystemversjonen (OS) er nyere enn Vista. Ellers avsluttes ShrinkLocker automatisk og sletter seg selv. Når målet oppfyller kriteriene for angrepet, bruker skadevaren diskdelverktøyet i Windows for å krympe hver partisjon som ikke er oppstartet med 100 MB, og deler den ikke-allokerte plassen inn i nye primærvolumer med identiske størrelser.
Forskere bemerker at i Windows 2008 og 2012 bevarer ShrinkLocker Ransomware opprinnelig oppstartsfilene sammen med indeksen til andre volumer. Lignende endringsoperasjoner utføres på andre Windows OS-versjoner, om enn med forskjellige kodesegmenter, som skissert i forskernes tekniske analyse. Deretter bruker skadevaren kommandolinjeverktøyet BCDEdit for å installere oppstartsfilene på nytt på de nylig genererte partisjonene.
ShrinkLocker Ransomware gjør dataene på hele stasjonspartisjoner ubrukelige
ShrinkLocker endrer også registeroppføringer for å deaktivere eksterne skrivebordstilkoblinger eller aktivere BitLocker-kryptering på verter uten en Trusted Platform Module (TPM). Denne dedikerte brikken gir maskinvarebaserte, sikkerhetsrelaterte funksjoner.
Trusselaktøren bak ShrinkLocker slipper ikke en løsepengefil for å etablere en kommunikasjonskanal med offeret. I stedet oppgir de en kontakt-e-postadresse (onboardingbinder@proton.me, conspiracyid9@protonmail.com) som etiketten til de nye oppstartspartisjonene. Denne etiketten vil imidlertid ikke bli sett av administratorer med mindre de starter opp enheten ved hjelp av et gjenopprettingsmiljø eller gjennom andre diagnoseverktøy, noe som gjør det ganske enkelt å gå glipp av.
Etter å ha kryptert stasjonene, sletter trusselaktøren BitLocker-beskytterne (f.eks. TPM, PIN, oppstartsnøkkel, passord, gjenopprettingspassord, gjenopprettingsnøkkel) for å nekte offeret enhver mulighet til å gjenopprette BitLockers krypteringsnøkkel, som sendes til angriperen.
Nøkkelen som genereres for kryptering av filer er en 64-tegns kombinasjon av tilfeldig multiplikasjon og erstatning av en variabel med 0-9 tall, spesialtegn og den holoalfabetiske setningen "Den raske brune reven hopper over den late hunden." Nøkkelen leveres gjennom TryCloudflare-verktøyet, en legitim tjeneste for utviklere å eksperimentere med CloudFlares tunnel uten å legge til et nettsted i CloudFlares DNS.
I den siste fasen av angrepet tvinger ShrinkLocker systemet til å slå seg av for at alle endringene skal tre i kraft og lar brukeren ha stasjonene låst og ingen BitLocker-gjenopprettingsalternativer.
ShrinkLocker-trusselaktørene er kanskje ikke økonomisk drevet
BitLocker tilbyr muligheten til å lage en personlig melding på gjenopprettingsskjermer, og gir en ideell plattform for å vise en utpressingsmelding til ofre. Fraværet av en fremtredende løseseddel og en e-post som bare er utpekt som en stasjonsetikett, kan tyde på at disse angrepene er ment å være mer ødeleggende i stedet for å drives av økonomiske motiver.
Forskere har avdekket at ShrinkLocker manifesterer seg i flere varianter og har blitt distribuert mot en statlig enhet, så vel som organisasjoner innen stål- og vaksineproduksjonssektorene i Mexico, Indonesia og Jordan.
Bedrifter som bruker BitLocker på systemene sine, anbefales på det sterkeste å sørge for sikker lagring av gjenopprettingsnøkler og vedlikeholde regelmessige offline sikkerhetskopier som testes med jevne mellomrom. Videre oppfordres organisasjoner til å distribuere en riktig konfigurert Endpoint Protection Platform (EPP)-løsning for å oppdage forsøk på BitLocker-misbruk, håndheve minimale brukerprivilegier, muliggjøre omfattende logging og overvåking av nettverkstrafikk (inkludert både GET- og POST-forespørsler), spore hendelser knyttet til VBS- og PowerShell-utførelse, og logg relevante skript.
ShrinkLocker Ransomware video
Tips: Slå PÅ lyden og se videoen i fullskjermmodus .
