Izsiljevalska programska oprema ShrinkLocker
Številni operaterji izsiljevalske programske opreme se sprašujejo o nujnosti integracije mehanizma za kripto zaklepanje v svoje grožnje zlonamerne programske opreme glede na razpoložljivost Microsoftove robustne šifrirne programske opreme v sistemu Windows. Eden pomembnih primerov, ki so ga izpostavili strokovnjaki za kibernetsko varnost, je ShrinkLocker. Ta različica izsiljevalske programske opreme vzpostavi novo zagonsko particijo za šifriranje sistemov podjetij z uporabo Windows BitLocker.
Kazalo
Akterji groženj zaklenejo podatke z zlorabo legitimne funkcije sistema Windows
Primeri izsiljevalske programske opreme, ki uporablja BitLocker za šifriranje računalnikov, niso neobičajni. V enem primeru je akter grožnje izkoristil to varnostno funkcijo v sistemu Windows za šifriranje 100 TB podatkov v 40 strežnikih v bolnišnici v Belgiji. Podobno je drug napadalec uporabil BitLocker za šifriranje sistemov, ki pripadajo moskovskemu proizvajalcu in distributerju mesa. Microsoft je septembra 2022 izdal opozorilo in razkril, da je napadalec, ki ga sponzorira iranska država, uporabil BitLocker za šifriranje sistemov z operacijskim sistemom Windows 10, Windows 11 ali Windows Server 2016 in novejšimi.
Vendar pa strokovnjaki ob natančnem pregledu ShrinkLockerja opozarjajo, da ta grožnja kaže prej nerazkrite funkcije, namenjene povečanju obsega učinka napada.
ShrinkLocker se izvede le, če so izpolnjene določene specifikacije
ShrinkLocker, kodiran v Visual Basic Scripting (VBScript), jeziku, ki ga je Microsoft uvedel že leta 1996 in je zdaj na poti. Med svojimi funkcijami grožnja prikazuje zmožnost prepoznavanja določene različice sistema Windows, ki se izvaja na ciljnem računalniku, z uporabo Windows Management Instrumentation (WMI) z razredom Win32_OperatingSystem.
Napad se nadaljuje samo pod določenimi pogoji, kot je trenutna domena, ki se ujema s tarčo, in različica operacijskega sistema (OS), ki je novejša od Vista. V nasprotnem primeru se ShrinkLocker samodejno zaključi in izbriše. Ko tarča izpolnjuje merila napada, zlonamerna programska oprema uporabi pripomoček za diskovni del v sistemu Windows, da skrči vsako nezagonsko particijo za 100 MB in razdeli nedodeljeni prostor na nove primarne nosilce enakih velikosti.
Raziskovalci ugotavljajo, da v sistemih Windows 2008 in 2012 izsiljevalska programska oprema ShrinkLocker sprva ohrani zagonske datoteke skupaj z indeksom drugih nosilcev. Podobne operacije spreminjanja velikosti se izvajajo v drugih različicah OS Windows, čeprav z drugačnimi segmenti kode, kot je opisano v tehnični analizi raziskovalcev. Nato zlonamerna programska oprema uporabi orodje ukazne vrstice BCDEdit za ponovno namestitev zagonskih datotek na novo ustvarjene particije.
Izsiljevalska programska oprema ShrinkLocker naredi podatke na celotnih particijah pogona neuporabne
ShrinkLocker prav tako spremeni vnose v registru, da onemogoči povezave z oddaljenim namizjem ali omogoči šifriranje BitLocker na gostiteljih brez modula Trusted Platform Module (TPM). Ta namenski čip zagotavlja funkcije, ki temeljijo na strojni opremi in so povezane z varnostjo.
Akter grožnje za ShrinkLockerjem ne spusti datoteke z odkupnino, da bi vzpostavil komunikacijski kanal z žrtvijo. Namesto tega zagotovijo kontaktni e-poštni naslov (onboardingbinder@proton.me, conspiracyid9@protonmail.com) kot oznako novih zagonskih particij. Vendar te oznake skrbniki ne bodo videli, razen če napravo zaženejo z obnovitvenim okoljem ali z drugimi diagnostičnimi orodji, zaradi česar jo je dokaj enostavno spregledati.
Po šifriranju pogonov povzročitelj grožnje izbriše zaščite BitLocker (npr. TPM, PIN, zagonski ključ, geslo, obnovitveno geslo, obnovitveni ključ), da žrtvi onemogoči kakršno koli možnost obnovitve šifrirnega ključa BitLocker, ki je poslan napadalcu.
Ključ, ustvarjen za šifriranje datotek, je 64-mestna kombinacija naključnega množenja in zamenjave spremenljivke s številkami 0-9, posebnimi znaki in holoabecednim stavkom 'Hitra rjava lisica skoči čez lenega psa.' Ključ je dostavljen prek orodja TryCloudflare, zakonite storitve za razvijalce, ki lahko eksperimentirajo s predorom CloudFlare brez dodajanja spletnega mesta v DNS CloudFlare.
V zadnji fazi napada ShrinkLocker prisili sistem, da se izklopi, da začnejo veljati vse spremembe, uporabnik pa pusti zaklenjene pogone in brez možnosti obnovitve BitLockerja.
Akterji grožnje ShrinkLocker morda niso finančno usmerjeni
BitLocker ponuja možnost oblikovanja prilagojenega sporočila na zaslonih za obnovitev, kar zagotavlja idealno platformo za prikaz izsiljevalskega sporočila žrtvam. Odsotnost vidno prikazanega obvestila o odkupnini in e-poštnega sporočila, ki je zgolj označeno kot oznaka pogona, lahko nakazujeta, da so ti napadi po naravi bolj uničujoči, ne pa da jih vodijo finančni motivi.
Raziskovalci so odkrili, da se ShrinkLocker manifestira v več različicah in je bil uporabljen proti vladnemu subjektu ter organizacijam v sektorjih proizvodnje jekla in cepiv v Mehiki, Indoneziji in Jordaniji.
Podjetjem, ki v svojih sistemih uporabljajo BitLocker, močno svetujemo, da zagotovijo varno shranjevanje obnovitvenih ključev in vzdržujejo redne varnostne kopije brez povezave, ki se redno testirajo. Poleg tega so organizacije pozvane, naj uvedejo pravilno konfigurirano rešitev Endpoint Protection Platform (EPP) za odkrivanje poskusov zlorabe BitLockerja, uveljavljanje minimalnih uporabniških pravic, omogočanje celovitega beleženja in spremljanja omrežnega prometa (vključno z zahtevami GET in POST), sledenje dogodkom, povezanim z Izvajanje VBS in PowerShell ter beleženje ustreznih skriptov.
Izsiljevalska programska oprema ShrinkLocker Video
Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.
