Oprogramowanie ransomware ShrinkLocker

Do Mezo w Ransomware

Przetłumacz na:

Wielu operatorów oprogramowania ransomware kwestionuje konieczność zintegrowania mechanizmu szyfrowania z zagrożeniami złośliwym oprogramowaniem, biorąc pod uwagę dostępność niezawodnego oprogramowania szyfrującego firmy Microsoft w systemie Windows. Jednym z godnych uwagi przykładów podkreślonych przez ekspertów ds. cyberbezpieczeństwa jest ShrinkLocker. Ten wariant oprogramowania ransomware tworzy nową partycję rozruchową w celu szyfrowania systemów korporacyjnych przy użyciu funkcji Windows BitLocker.

Spis treści

Podmioty zagrażające blokują dane, nadużywając legalnych funkcji systemu Windows

Przypadki oprogramowania ransomware wykorzystującego funkcję BitLocker do szyfrowania komputerów nie są rzadkością. W jednym przypadku osoba zagrażająca wykorzystała tę funkcję zabezpieczeń w systemie Windows do zaszyfrowania 100 TB danych na 40 serwerach w szpitalu w Belgii. Podobnie inny atakujący wykorzystał funkcję BitLocker do szyfrowania systemów należących do moskiewskiego producenta i dystrybutora mięsa. Firma Microsoft wydała ostrzeżenie we wrześniu 2022 r., ujawniając, że sponsorowany przez państwo irańskie napastnik wykorzystał funkcję BitLocker do szyfrowania systemów z systemem Windows 10, Windows 11 lub Windows Server 2016 i nowszymi.

Jednak po przeanalizowaniu ShrinkLocker eksperci ostrzegają, że zagrożenie to wykazuje wcześniej nieujawnione cechy, których celem jest zwiększenie zasięgu ataku.

ShrinkLocker jest wykonywany tylko wtedy, gdy spełnione są określone specyfikacje

ShrinkLocker, kodowany w języku Visual Basic Scripting (VBScript), języku wprowadzonym przez firmę Microsoft w 1996 roku, a obecnie wycofującym się. Wśród swoich funkcjonalności zagrożenie to umożliwia identyfikację konkretnej wersji systemu Windows działającej na komputerze docelowym za pomocą Instrumentacji zarządzania Windows (WMI) z klasą Win32_OperatingSystem.

Atak przebiega tylko pod pewnymi warunkami, takimi jak bieżąca domena odpowiadająca celowi i wersja systemu operacyjnego (OS) nowsza niż Vista. W przeciwnym razie ShrinkLocker zakończy się automatycznie i sam się usunie. Kiedy cel spełnia kryteria ataku, szkodliwe oprogramowanie wykorzystuje narzędzie części dyskowej w systemie Windows, aby zmniejszyć każdą partycję inną niż rozruchowa o 100 MB, dzieląc nieprzydzielone miejsce na nowe woluminy główne o identycznych rozmiarach.

Badacze zauważają, że w systemach Windows 2008 i 2012 ShrinkLocker Ransomware początkowo zachowuje pliki startowe wraz z indeksem innych woluminów. Podobne operacje zmiany rozmiaru przeprowadza się w innych wersjach systemu operacyjnego Windows, aczkolwiek z różnymi segmentami kodu, jak wskazano w analizie technicznej badaczy. Następnie szkodliwe oprogramowanie wykorzystuje narzędzie wiersza poleceń BCDEdit do ponownej instalacji plików startowych na nowo wygenerowanych partycjach.

Ransomware ShrinkLocker sprawia, że dane na całych partycjach dysku stają się bezużyteczne

ShrinkLocker modyfikuje także wpisy rejestru, aby wyłączyć połączenia pulpitu zdalnego lub włączyć szyfrowanie funkcją BitLocker na hostach bez modułu TPM (Trusted Platform Module). Ten dedykowany chip zapewnia funkcje sprzętowe związane z bezpieczeństwem.

Osoba zagrażająca stojąca za ShrinkLockerem nie przesyła pliku z żądaniem okupu, aby nawiązać kanał komunikacji z ofiarą. Zamiast tego podają kontaktowy adres e-mail (onboardingbinder@proton.me, conspiracyid9@protonmail.com) jako etykietę nowych partycji rozruchowych. Jednak ta etykieta nie będzie widoczna dla administratorów, chyba że uruchomią urządzenie przy użyciu środowiska odzyskiwania lub innych narzędzi diagnostycznych, dzięki czemu dość łatwo ją przeoczyć.

Po zaszyfrowaniu dysków osoba zagrażająca usuwa zabezpieczenia funkcją BitLocker (np. moduł TPM, PIN, klucz startowy, hasło, hasło odzyskiwania, klucz odzyskiwania), aby uniemożliwić ofierze jakąkolwiek możliwość odzyskania klucza szyfrowania funkcją BitLocker wysyłanego do atakującego.

Klucz generowany do szyfrowania plików to 64-znakowa kombinacja losowego mnożenia i zamiany zmiennej na cyfry 0-9, znaki specjalne i zdanie holoalfabetyczne „Szybki brązowy lis przeskakuje leniwego psa”. Klucz jest dostarczany za pośrednictwem narzędzia TryCloudflare, legalnej usługi dla programistów umożliwiającej eksperymentowanie z tunelem CloudFlare bez dodawania witryny do DNS CloudFlare.

W końcowej fazie ataku ShrinkLocker wymusza zamknięcie systemu, aby wszystkie zmiany odniosły skutek, pozostawiając użytkownika z zablokowanymi dyskami i brakiem możliwości odzyskiwania funkcji BitLocker.

Podmioty zagrażające ShrinkLocker nie mogą kierować się względami finansowymi

Funkcja BitLocker oferuje opcję tworzenia spersonalizowanej wiadomości na ekranach odzyskiwania, zapewniając idealną platformę do wyświetlania ofiarom wiadomości o wymuszeniach. Brak wyraźnie widocznej notatki z żądaniem okupu i wiadomości e-mail oznaczonej jedynie jako etykieta dysku może sugerować, że ataki te mają raczej charakter destrukcyjny niż motywy finansowe.

Badacze odkryli, że ShrinkLocker występuje w wielu wariantach i został zastosowany przeciwko podmiotowi rządowemu, a także organizacjom z sektorów produkcji stali i szczepionek w Meksyku, Indonezji i Jordanii.

Firmom stosującym funkcję BitLocker w swoich systemach zdecydowanie zaleca się zapewnienie bezpiecznego przechowywania kluczy odzyskiwania i regularne tworzenie kopii zapasowych w trybie offline, które są okresowo testowane. Ponadto zachęca się organizacje do wdrożenia odpowiednio skonfigurowanego rozwiązania Endpoint Protection Platform (EPP) w celu wykrywania prób nadużycia funkcji BitLocker, egzekwowania minimalnych uprawnień użytkowników, umożliwiania kompleksowego rejestrowania i monitorowania ruchu sieciowego (w tym żądań GET i POST), śledzenia zdarzeń związanych z Wykonywanie VBS i PowerShell oraz rejestrowanie odpowiednich skryptów.