ShrinkLocker-ransomware

Tegen Mezo in Ransomware

Vertalen naar:

Talloze ransomware-exploitanten twijfelen aan de noodzaak van het integreren van een crypto-locking-mechanisme in hun malwarebedreigingen, gezien de beschikbaarheid van de robuuste encryptiesoftware van Microsoft binnen Windows. Een opmerkelijk voorbeeld dat door cyberbeveiligingsexperts wordt benadrukt, is ShrinkLocker. Deze ransomwarevariant maakt een nieuwe opstartpartitie aan om bedrijfssystemen te versleutelen met behulp van Windows BitLocker.

Inhoudsopgave

Bedreigingsactoren vergrendelen gegevens door misbruik te maken van legitieme Windows-functies

Gevallen van ransomware waarbij BitLocker wordt gebruikt om computers te versleutelen zijn niet ongewoon. In één geval maakte een bedreigingsacteur gebruik van deze beveiligingsfunctie binnen Windows om 100 TB aan gegevens te versleutelen op 40 servers in een ziekenhuis in België. Op dezelfde manier gebruikte een andere aanvaller BitLocker om systemen van een in Moskou gevestigde vleesproducent en -distributeur te versleutelen. Microsoft gaf in september 2022 een waarschuwing uit, waaruit bleek dat een door de Iraanse staat gesponsorde aanvaller BitLocker had gebruikt om systemen met Windows 10, Windows 11 of Windows Server 2016 en nieuwer te versleutelen.

Bij onderzoek van ShrinkLocker waarschuwen experts echter dat deze dreiging voorheen niet bekendgemaakte kenmerken vertoont die erop gericht zijn de omvang van de impact van de aanval te vergroten.

ShrinkLocker wordt alleen uitgevoerd als aan bepaalde specificaties wordt voldaan

ShrinkLocker, gecodeerd in Visual Basic Scripting (VBScript), een taal die Microsoft al in 1996 introduceerde en nu op zijn einde loopt. Onder de functionaliteiten demonstreert de bedreiging de mogelijkheid om de specifieke Windows-versie die op de doelmachine draait te identificeren door gebruik te maken van Windows Management Instrumentation (WMI) met de klasse Win32_OperatingSystem.

De aanval vindt alleen plaats onder specifieke omstandigheden, bijvoorbeeld als het huidige domein overeenkomt met het doel en de versie van het besturingssysteem (OS) nieuwer is dan Vista. Anders wordt ShrinkLocker automatisch afgesloten en wordt het automatisch verwijderd. Wanneer het doelwit aan de criteria van de aanval voldoet, gebruikt de malware het hulpprogramma voor schijfonderdelen in Windows om elke niet-opstartpartitie met 100 MB te verkleinen, waardoor de niet-toegewezen ruimte wordt verdeeld in nieuwe primaire volumes van identieke grootte.

Onderzoekers merken op dat ShrinkLocker Ransomware in Windows 2008 en 2012 aanvankelijk de opstartbestanden samen met de index van andere volumes bewaart. Soortgelijke bewerkingen voor het wijzigen van de grootte worden uitgevoerd op andere Windows OS-versies, zij het met verschillende codesegmenten, zoals beschreven in de technische analyse van de onderzoekers. Vervolgens gebruikt de malware het opdrachtregelprogramma BCDEdit om de opstartbestanden opnieuw te installeren op de nieuw gegenereerde partities.

De ShrinkLocker Ransomware maakt de gegevens op volledige schijfpartities onbruikbaar

ShrinkLocker wijzigt ook registervermeldingen om externe bureaubladverbindingen uit te schakelen of BitLocker-codering in te schakelen op hosts zonder een Trusted Platform Module (TPM). Deze speciale chip biedt op hardware gebaseerde, beveiligingsgerelateerde functies.

De bedreigingsacteur achter ShrinkLocker laat geen losgeldbestand achter om een communicatiekanaal met het slachtoffer tot stand te brengen. In plaats daarvan geven ze een e-mailadres voor contact op (onboardingbinder@proton.me, conspiracyid9@protonmail.com) als label van de nieuwe opstartpartities. Dit label zal echter niet door beheerders worden gezien, tenzij ze het apparaat opstarten met behulp van een herstelomgeving of via andere diagnostische hulpmiddelen, waardoor het vrij gemakkelijk te missen is.

Na het versleutelen van de schijven verwijdert de bedreigingsacteur de BitLocker-beveiligingen (bijvoorbeeld TPM, pincode, opstartsleutel, wachtwoord, herstelwachtwoord, herstelsleutel) om het slachtoffer elke optie te ontzeggen om de coderingssleutel van BitLocker, die naar de aanvaller wordt verzonden, te herstellen.

De sleutel die wordt gegenereerd voor het coderen van bestanden is een combinatie van 64 tekens van willekeurige vermenigvuldiging en vervanging van een variabele door 0-9 cijfers, speciale tekens en de holoalfabetische zin 'De snelle bruine vos springt over de luie hond.' De sleutel wordt geleverd via de TryCloudflare-tool, een legitieme service waarmee ontwikkelaars kunnen experimenteren met CloudFlare's Tunnel zonder een site toe te voegen aan de DNS van CloudFlare.

In de laatste fase van de aanval dwingt ShrinkLocker het systeem af te sluiten zodat alle wijzigingen van kracht worden, waardoor de gebruiker de schijven vergrendeld blijft en er geen BitLocker-herstelopties zijn.

De ShrinkLocker Threat Actors zijn mogelijk niet financieel gedreven

BitLocker biedt de mogelijkheid om een gepersonaliseerd bericht op herstelschermen te plaatsen, wat een ideaal platform biedt voor het weergeven van een afpersingsbericht aan slachtoffers. Het ontbreken van een prominent weergegeven losgeldbriefje en een e-mail die louter als drive-label is bedoeld, zou erop kunnen wijzen dat deze aanvallen eerder destructief van aard zijn dan dat ze worden aangestuurd door financiële motieven.

Onderzoekers hebben ontdekt dat ShrinkLocker zich in meerdere varianten manifesteert en is ingezet tegen een overheidsinstantie, evenals organisaties binnen de staal- en vaccinproductiesectoren in Mexico, Indonesië en Jordanië.

Bedrijven die BitLocker op hun systemen gebruiken, wordt sterk aangeraden om de veilige opslag van herstelsleutels te garanderen en regelmatig offline back-ups te maken die periodiek worden getest. Bovendien worden organisaties dringend verzocht een goed geconfigureerde Endpoint Protection Platform (EPP)-oplossing in te zetten om pogingen tot misbruik van BitLocker te detecteren, minimale gebruikersrechten af te dwingen, uitgebreide registratie en monitoring van netwerkverkeer mogelijk te maken (inclusief zowel GET- als POST-verzoeken), gebeurtenissen te volgen die verband houden met VBS- en PowerShell-uitvoering en log relevante scripts.