ShrinkLocker Ransomware
Numeroși operatori de ransomware pun la îndoială necesitatea integrării unui mecanism de criptoblocare în amenințările lor malware, având în vedere disponibilitatea software-ului robust de criptare Microsoft în Windows. Un exemplu notabil evidențiat de experții în securitate cibernetică este ShrinkLocker. Această variantă de ransomware stabilește o nouă partiție de pornire pentru a cripta sistemele corporative utilizând Windows BitLocker.
Cuprins
Actorii amenințări blochează datele prin abuzarea funcției Windows legitime
Instanțe de ransomware care utilizează BitLocker pentru a cripta computerele nu sunt neobișnuite. Într-un caz, un actor de amenințări a folosit această caracteristică de securitate din Windows pentru a cripta 100 TB de date pe 40 de servere dintr-un spital din Belgia. În mod similar, un alt atacator a folosit BitLocker pentru a cripta sistemele aparținând unui producător și distribuitor de carne din Moscova. Microsoft a emis un avertisment în septembrie 2022, dezvăluind că un atacator sponsorizat de stat iranian a folosit BitLocker pentru a cripta sistemele care rulează Windows 10, Windows 11 sau Windows Server 2016 și mai noi.
Cu toate acestea, la analizarea ShrinkLocker, experții avertizează că această amenințare prezintă caracteristici nedezvăluite anterior, menite să amplifice amploarea impactului atacului.
ShrinkLocker este executat numai când sunt îndeplinite anumite specificații
ShrinkLocker, codificat în Visual Basic Scripting (VBScript), un limbaj introdus de Microsoft încă din 1996 și este acum pe cale de ieșire. Printre funcționalitățile sale, amenințarea demonstrează capacitatea de a identifica versiunea Windows specifică care rulează pe mașina țintă utilizând Windows Management Instrumentation (WMI) cu clasa Win32_OperatingSystem.
Atacul are loc numai în condiții specifice, cum ar fi domeniul actual care se potrivește cu ținta și versiunea sistemului de operare (OS) este mai nouă decât Vista. În caz contrar, ShrinkLocker se încheie automat și se șterge automat. Când ținta îndeplinește criteriile atacului, malware-ul folosește utilitarul pentru partea de disc din Windows pentru a micșora fiecare partiție non-boot cu 100 MB, împărțind spațiul nealocat în noi volume primare de dimensiuni identice.
Cercetătorii observă că în Windows 2008 și 2012, ShrinkLocker Ransomware păstrează inițial fișierele de pornire împreună cu indexul altor volume. Operațiuni similare de redimensionare sunt efectuate pe alte versiuni ale sistemului de operare Windows, deși cu segmente de cod diferite, așa cum se subliniază în analiza tehnică a cercetătorilor. Ulterior, malware-ul folosește instrumentul de linie de comandă BCDEdit pentru a reinstala fișierele de boot pe partițiile nou generate.
ShrinkLocker Ransomware face datele de pe partițiile întregii unități inutilizabile
ShrinkLocker modifică, de asemenea, intrările din registry pentru a dezactiva conexiunile la desktop la distanță sau pentru a activa criptarea BitLocker pe gazde fără un Modul de platformă de încredere (TPM). Acest cip dedicat oferă funcții bazate pe hardware, legate de securitate.
Actorul amenințării din spatele ShrinkLocker nu aruncă un fișier de răscumpărare pentru a stabili un canal de comunicare cu victima. În schimb, furnizează o adresă de e-mail de contact (onboardingbinder@proton.me, conspiracyid9@protonmail.com) ca etichetă a noilor partiții de pornire. Cu toate acestea, această etichetă nu va fi văzută de administratori decât dacă pornesc dispozitivul utilizând un mediu de recuperare sau prin alte instrumente de diagnosticare, ceea ce face destul de ușor să fie ratată.
După criptarea unităților, actorul amenințării șterge protectorii BitLocker (de exemplu, TPM, PIN, cheie de pornire, parolă, parolă de recuperare, cheie de recuperare) pentru a refuza victimei orice opțiune de a recupera cheia de criptare a BitLocker, care este trimisă atacatorului.
Cheia generată pentru criptarea fișierelor este o combinație de 64 de caractere de înmulțire aleatorie și înlocuire a unei variabile cu numere 0-9, caractere speciale și propoziția holoalfabetică „Vulpea maro iute sare peste câinele leneș”. Cheia este furnizată prin instrumentul TryCloudflare, un serviciu legitim pentru dezvoltatori pentru a experimenta tunelul CloudFlare fără a adăuga un site la DNS-ul CloudFlare.
În etapa finală a atacului, ShrinkLocker forțează sistemul să se închidă pentru ca toate modificările să intre în vigoare și să lase utilizatorul cu unitățile blocate și fără opțiuni de recuperare BitLocker.
Actorii amenințărilor ShrinkLocker ar putea să nu fie determinați din punct de vedere financiar
BitLocker oferă opțiunea de a crea un mesaj personalizat pe ecranele de recuperare, oferind o platformă ideală pentru afișarea unui mesaj de extorcare victimelor. Absența unei note de răscumpărare afișate în mod vizibil și a unui e-mail desemnat doar ca o etichetă de unitate ar putea sugera că aceste atacuri sunt intenționate să fie mai distructive în natură decât să fie determinate de motive financiare.
Cercetătorii au descoperit că ShrinkLocker se manifestă în mai multe variante și a fost desfășurat împotriva unei entități guvernamentale, precum și a organizațiilor din sectoarele de fabricare a oțelului și a vaccinurilor din Mexic, Indonezia și Iordania.
Companiile care folosesc BitLocker pe sistemele lor sunt sfătuite să asigure stocarea în siguranță a cheilor de recuperare și să mențină backup-uri offline regulate, care sunt testate periodic. În plus, organizațiile sunt îndemnate să implementeze o soluție Endpoint Protection Platform (EPP) configurată corespunzător pentru a detecta încercările de abuz BitLocker, pentru a impune privilegii minime de utilizator, pentru a permite înregistrarea completă și monitorizarea traficului de rețea (inclusiv cererile GET și POST), pentru a urmări evenimentele asociate cu Execuția VBS și PowerShell și înregistrează scripturi pertinente.
ShrinkLocker Ransomware Video
Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .
