Ransomware ShrinkLocker
Mnohí prevádzkovatelia ransomvéru spochybňujú potrebu integrácie kryptoblokovacieho mechanizmu do svojich malvérových hrozieb, vzhľadom na dostupnosť robustného šifrovacieho softvéru od Microsoftu v rámci Windows. Jedným z pozoruhodných príkladov, na ktoré upozornili odborníci na kybernetickú bezpečnosť, je ShrinkLocker. Tento variant ransomvéru vytvára novú zavádzaciu oblasť na šifrovanie podnikových systémov pomocou nástroja Windows BitLocker.
Obsah
Aktéri hrozieb uzamknú údaje zneužitím legitímnej funkcie systému Windows
Prípady ransomvéru využívajúceho BitLocker na šifrovanie počítačov nie sú nezvyčajné. V jednom prípade aktér hrozby využil túto bezpečnostnú funkciu v systéme Windows na zašifrovanie 100 TB údajov na 40 serveroch v nemocnici v Belgicku. Podobne ďalší útočník použil BitLocker na šifrovanie systémov patriacich výrobcovi a distribútorovi mäsa so sídlom v Moskve. Spoločnosť Microsoft vydala v septembri 2022 varovanie, v ktorom odhalila, že útočník sponzorovaný iránskym štátom použil BitLocker na šifrovanie systémov so systémom Windows 10, Windows 11 alebo Windows Server 2016 a novším.
Pri skúmaní ShrinkLockera však odborníci varujú, že táto hrozba vykazuje predtým nezverejnené vlastnosti zamerané na zosilnenie rozsahu dopadu útoku.
ShrinkLocker sa spustí iba vtedy, keď sú splnené určité špecifikácie
ShrinkLocker, kódovaný vo Visual Basic Scripting (VBScript), jazyku predstavenom spoločnosťou Microsoft už v roku 1996 a teraz je na ceste von. Medzi svojimi funkciami hrozba demonštruje schopnosť identifikovať konkrétnu verziu Windows spustenú na cieľovom počítači pomocou Windows Management Instrumentation (WMI) s triedou Win32_OperatingSystem.
Útok prebieha iba za špecifických podmienok, ako je napríklad aktuálna doména zodpovedajúca cieľu a verzia operačného systému (OS) je novšia ako Vista. V opačnom prípade sa ShrinkLocker automaticky uzavrie a sám sa vymaže. Keď cieľ splní kritériá útoku, malvér využije utilitu diskovej časti v systéme Windows na zmenšenie každej nespúšťacej oblasti o 100 MB, čím sa nepridelené miesto rozdelí na nové primárne zväzky rovnakej veľkosti.
Výskumníci poznamenávajú, že v systéme Windows 2008 a 2012 ShrinkLocker Ransomware spočiatku zachováva zavádzacie súbory spolu s indexom iných zväzkov. Podobné operácie zmeny veľkosti sa vykonávajú na iných verziách operačného systému Windows, aj keď s rôznymi segmentmi kódu, ako je uvedené v technickej analýze výskumníkov. Následne malvér využíva nástroj príkazového riadka BCDEdit na preinštalovanie zavádzacích súborov na novo vygenerované oddiely.
Ransomware ShrinkLocker robí údaje na celých oddieloch disku nepoužiteľnými
ShrinkLocker tiež upravuje položky databázy Registry tak, aby zakázali pripojenia vzdialenej pracovnej plochy alebo povolili šifrovanie BitLocker na hostiteľoch bez modulu Trusted Platform Module (TPM). Tento vyhradený čip poskytuje hardvérové funkcie súvisiace so zabezpečením.
Aktér hrozby za ShrinkLockerom nezahodí súbor s výkupným, aby vytvoril komunikačný kanál s obeťou. Namiesto toho poskytujú kontaktnú e-mailovú adresu (onboardingbinder@proton.me, conspiracyid9@protonmail.com) ako označenie nových zavádzacích oddielov. Tento štítok však správcovia neuvidia, pokiaľ nezavedú zariadenie pomocou prostredia na obnovenie alebo pomocou iných diagnostických nástrojov, takže je pomerne ľahké ho prehliadnuť.
Po zašifrovaní diskov aktér hrozby odstráni chrániče BitLocker (napr. TPM, PIN, spúšťací kľúč, heslo, heslo na obnovenie, kľúč na obnovenie), aby obeti odoprel akúkoľvek možnosť obnoviť šifrovací kľúč BitLocker, ktorý je odoslaný útočníkovi.
Kľúč vygenerovaný na šifrovanie súborov je 64-znaková kombinácia náhodného násobenia a nahradenia premennej číslami 0-9, špeciálnymi znakmi a holoalfabetickou vetou „Rýchla hnedá líška preskočí lenivého psa“. Kľúč sa dodáva prostredníctvom nástroja TryCloudflare, legitímnej služby pre vývojárov na experimentovanie s CloudFlare's Tunnel bez pridania stránky do DNS CloudFlare.
V záverečnej fáze útoku ShrinkLocker prinúti systém vypnúť sa, aby sa všetky zmeny prejavili a ponechal používateľovi uzamknuté disky a žiadne možnosti obnovenia BitLocker.
Aktéri hrozby ShrinkLocker nemusia byť finančne motivovaní
BitLocker ponúka možnosť vytvoriť prispôsobenú správu na obrazovkách obnovy, čím poskytuje ideálnu platformu na zobrazenie vydieračskej správy pre obete. Absencia nápadne zobrazenej poznámky o výkupnom a e-mailu označeného iba ako označenie disku môže naznačovať, že tieto útoky sú skôr deštruktívnejšie než z finančných dôvodov.
Výskumníci odhalili, že ShrinkLocker sa prejavuje vo viacerých variantoch a bol nasadený proti vládnemu subjektu, ako aj organizáciám v sektoroch výroby ocele a vakcín v Mexiku, Indonézii a Jordánsku.
Spoločnostiam, ktoré vo svojich systémoch používajú BitLocker, sa dôrazne odporúča zabezpečiť bezpečné ukladanie kľúčov na obnovenie a udržiavať pravidelné offline zálohy, ktoré sa pravidelne testujú. Organizácie sa ďalej vyzývajú, aby nasadili správne nakonfigurované riešenie Endpoint Protection Platform (EPP) na detekciu pokusov o zneužitie BitLocker, vynútenie minimálnych používateľských oprávnení, umožnenie komplexného protokolovania a monitorovania sieťovej prevádzky (vrátane požiadaviek GET aj POST), sledovanie udalostí spojených s Spustenie VBS a PowerShell a protokolovanie príslušných skriptov.
Ransomware ShrinkLocker Video
Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .
