Программа-вымогатель ShrinkLocker
Многочисленные операторы программ-вымогателей ставят под сомнение необходимость интеграции механизма криптографической блокировки в свои вредоносные программы, учитывая наличие надежного программного обеспечения шифрования Microsoft в Windows. Одним из примечательных примеров, отмеченных экспертами по кибербезопасности, является ShrinkLocker. Этот вариант программы-вымогателя создает новый загрузочный раздел для шифрования корпоративных систем с помощью Windows BitLocker.
Оглавление
Злоумышленники блокируют данные, злоупотребляя легальной функцией Windows
Случаи программ-вымогателей, использующих BitLocker для шифрования компьютеров, нередки. В одном случае злоумышленник использовал эту функцию безопасности Windows для шифрования 100 ТБ данных на 40 серверах в больнице в Бельгии. Аналогичным образом другой злоумышленник использовал BitLocker для шифрования систем, принадлежащих московскому производителю и дистрибьютору мяса. В сентябре 2022 года Microsoft выпустила предупреждение, сообщив, что спонсируемый иранским государством злоумышленник использовал BitLocker для шифрования систем под управлением Windows 10, Windows 11 или Windows Server 2016 и новее.
Однако, внимательно изучив ShrinkLocker, эксперты предупреждают, что эта угроза обладает ранее нераскрытыми функциями, направленными на усиление степени воздействия атаки.
ShrinkLocker выполняется только при соблюдении определенных спецификаций
ShrinkLocker, написанный на Visual Basic Scripting (VBScript), языке, представленном Microsoft еще в 1996 году и сейчас находящийся на пути к прекращению. Среди своих функциональных возможностей угроза демонстрирует способность идентифицировать конкретную версию Windows, работающую на целевом компьютере, с помощью инструментария управления Windows (WMI) с классом Win32_OperatingSystem.
Атака продолжается только при определенных условиях, например, если текущий домен соответствует цели, а версия операционной системы (ОС) новее, чем Vista. В противном случае ShrinkLocker автоматически завершает работу и автоматически удаляется. Когда цель соответствует критериям атаки, вредоносная программа использует утилиту раздела диска в Windows, чтобы сжать каждый незагрузочный раздел на 100 МБ, разделив нераспределенное пространство на новые первичные тома одинакового размера.
Исследователи отмечают, что в Windows 2008 и 2012 ShrinkLocker Ransomware изначально сохраняет загрузочные файлы вместе с индексами других томов. Аналогичные операции по изменению размера проводятся и в других версиях ОС Windows, хотя и с другими сегментами кода, как указано в техническом анализе исследователей. Впоследствии вредоносная программа использует инструмент командной строки BCDEdit для переустановки загрузочных файлов на вновь созданных разделах.
Программа-вымогатель ShrinkLocker делает данные на всех разделах диска непригодными для использования
ShrinkLocker также изменяет записи реестра, чтобы отключить подключения к удаленному рабочему столу или включить шифрование BitLocker на хостах без доверенного платформенного модуля (TPM). Этот выделенный чип обеспечивает аппаратные функции, связанные с безопасностью.
Злоумышленник, стоящий за ShrinkLocker, не передает файл с требованием выкупа для установления канала связи с жертвой. Вместо этого они предоставляют контактный адрес электронной почты (onboardingbinder@proton.me, conspiracyid9@protonmail.com) в качестве метки новых загрузочных разделов. Однако администраторы не увидят эту метку, если они не загрузят устройство с помощью среды восстановления или других инструментов диагностики, поэтому ее довольно легко пропустить.
После шифрования дисков злоумышленник удаляет средства защиты BitLocker (например, TPM, PIN-код, ключ запуска, пароль, пароль восстановления, ключ восстановления), чтобы лишить жертву возможности восстановить ключ шифрования BitLocker, который отправляется злоумышленнику.
Ключ, сгенерированный для шифрования файлов, представляет собой 64-значную комбинацию случайного умножения и замены переменной числами от 0 до 9, специальными символами и голоалфавитным предложением «Быстрая коричневая лиса прыгает через ленивую собаку». Ключ доставляется через инструмент TryCloudflare, законный сервис, позволяющий разработчикам экспериментировать с CloudFlare Tunnel без добавления сайта в DNS CloudFlare.
На заключительном этапе атаки ShrinkLocker заставляет систему завершить работу, чтобы все изменения вступили в силу, и оставляет пользователю заблокированные диски и отсутствие возможностей восстановления BitLocker.
Злоумышленники, угрожающие ShrinkLocker, возможно, не руководствуются финансовыми соображениями
BitLocker предлагает возможность создавать персонализированные сообщения на экранах восстановления, обеспечивая идеальную платформу для отображения сообщений о вымогательстве жертвам. Отсутствие заметного примечания о выкупе и электронного письма, обозначенного просто как метка диска, может указывать на то, что эти атаки имеют более разрушительный характер, а не вызваны финансовыми мотивами.
Исследователи обнаружили, что ShrinkLocker проявляется в нескольких вариантах и был использован против государственного учреждения, а также организаций сталелитейного сектора и производства вакцин в Мексике, Индонезии и Иордании.
Компаниям, использующим BitLocker в своих системах, настоятельно рекомендуется обеспечить безопасное хранение ключей восстановления и регулярно создавать автономные резервные копии, которые периодически проверяются. Кроме того, организациям настоятельно рекомендуется развернуть правильно настроенное решение Endpoint Protection Platform (EPP) для обнаружения попыток злоупотребления BitLocker, обеспечения минимальных пользовательских привилегий, обеспечения комплексной регистрации и мониторинга сетевого трафика (включая запросы GET и POST), отслеживания событий, связанных с Выполнение VBS и PowerShell, а также протоколирование соответствующих сценариев.
Программа-вымогатель ShrinkLocker Видео
Совет: Включите звук ON и смотреть видео в полноэкранном режиме.
