ShrinkLocker Ransomware
Operatorë të shumtë ransomware po vënë në pikëpyetje domosdoshmërinë e integrimit të një mekanizmi të bllokimit të kriptove në kërcënimet e tyre malware, duke pasur parasysh disponueshmërinë e softuerit të fuqishëm të enkriptimit të Microsoft brenda Windows. Një shembull i dukshëm i theksuar nga ekspertët e sigurisë kibernetike është ShrinkLocker. Ky variant ransomware krijon një ndarje të re boot për të enkriptuar sistemet e korporatave duke përdorur Windows BitLocker.
Tabela e Përmbajtjes
Aktorët Kërcënues bllokojnë të dhënat duke Abuzuar me funksionin legjitim të Windows
Rastet e ransomware që përdorin BitLocker për të kriptuar kompjuterët nuk janë të rralla. Në një rast, një aktor kërcënimi përdori këtë veçori të sigurisë brenda Windows për të enkriptuar 100 TB të dhëna në 40 serverë në një spital në Belgjikë. Në mënyrë të ngjashme, një sulmues tjetër përdori BitLocker për të enkriptuar sistemet që i përkisnin një prodhuesi dhe distributori të mishit me bazë në Moskë. Microsoft lëshoi një paralajmërim në shtator 2022, duke zbuluar se një sulmues i sponsorizuar nga shteti iranian kishte përdorur BitLocker për të enkriptuar sistemet që ekzekutonin Windows 10, Windows 11 ose Windows Server 2016 dhe më të reja.
Megjithatë, pas shqyrtimit të ShrinkLocker, ekspertët paralajmërojnë se ky kërcënim shfaq karakteristika të pazbuluara më parë që synojnë të përforcojnë shtrirjen e ndikimit të sulmit.
ShrinkLocker ekzekutohet vetëm kur plotësohen specifikime të caktuara
ShrinkLocker, i koduar në Visual Basic Scripting (VBScript), një gjuhë e prezantuar nga Microsoft në vitin 1996 dhe tani është në rrugëdalje. Ndër funksionalitetet e tij, kërcënimi demonstron aftësinë për të identifikuar versionin specifik të Windows që funksionon në makinën e synuar duke përdorur Instrumentimin e Menaxhimit të Windows (WMI) me klasën Win32_OperatingSystem.
Sulmi vazhdon vetëm në kushte specifike, si p.sh. domeni aktual që përputhet me objektivin dhe versioni i sistemit operativ (OS) është më i ri se Vista. Përndryshe, ShrinkLocker përfundon automatikisht dhe fshihet vetë. Kur objektivi plotëson kriteret e sulmit, malware përdor mjetin e pjesës së diskut në Windows për të tkurrur çdo ndarje jo-boot me 100 MB, duke e ndarë hapësirën e pandarë në vëllime të reja parësore të madhësive identike.
Studiuesit vërejnë se në Windows 2008 dhe 2012, ShrinkLocker Ransomware fillimisht ruan skedarët e nisjes së bashku me indeksin e vëllimeve të tjera. Operacione të ngjashme të ndryshimit të madhësisë kryhen në versione të tjera të OS Windows, megjithëse me segmente të ndryshme kodi, siç përshkruhet në analizën teknike të studiuesve. Më pas, malware përdor mjetin e linjës së komandës BCDEdit për të riinstaluar skedarët e nisjes në ndarjet e krijuara rishtazi.
ShrinkLocker Ransomware i bën të papërdorshme të dhënat në të gjitha ndarjet e diskut
ShrinkLocker modifikon gjithashtu shënimet e regjistrit për të çaktivizuar lidhjet e desktopit në distancë ose për të aktivizuar enkriptimin e BitLocker në hostet pa një modul të platformës së besuar (TPM). Ky çip i dedikuar ofron funksione të bazuara në harduer, të lidhura me sigurinë.
Aktori i kërcënimit që qëndron pas ShrinkLocker nuk lëshon një skedar shpërblimi për të krijuar një kanal komunikimi me viktimën. Në vend të kësaj, ata ofrojnë një adresë emaili kontakti (onboardingbinder@proton.me, conspiracyid9@protonmail.com) si etiketë e ndarjeve të reja të nisjes. Megjithatë, kjo etiketë nuk do të shihet nga administratorët nëse nuk e nisin pajisjen duke përdorur një mjedis rikuperimi ose përmes mjeteve të tjera diagnostikuese, duke e bërë mjaft të lehtë për ta humbur atë.
Pas enkriptimit të disqeve, aktori i kërcënimit fshin mbrojtësit BitLocker (p.sh. TPM, PIN, çelësin e nisjes, fjalëkalimin, fjalëkalimin e rikuperimit, çelësin e rikuperimit) për t'i mohuar viktimës çdo mundësi për të rikuperuar çelësin e enkriptimit të BitLocker, i cili i dërgohet sulmuesit.
Çelësi i krijuar për enkriptimin e skedarëve është një kombinim 64 karakteresh i shumëzimit të rastësishëm dhe zëvendësimit të një ndryshoreje me numra 0-9, karaktere speciale dhe fjalinë holoalfabetike "Dhelpra e shpejtë kafe kërcen mbi qenin dembel". Çelësi shpërndahet përmes mjetit TryCloudflare, një shërbim legjitim për zhvilluesit që të eksperimentojnë me tunelin e CloudFlare pa shtuar një sajt në DNS të CloudFlare.
Në fazën përfundimtare të sulmit, ShrinkLocker detyron sistemin të mbyllet që të gjitha ndryshimet të hyjnë në fuqi dhe ta lërë përdoruesin me disqet e kyçur dhe pa opsione të rikuperimit të BitLocker.
Aktorët e Kërcënimit të ShrinkLocker mund të mos nxiten financiarisht
BitLocker ofron mundësinë për të krijuar një mesazh të personalizuar në ekranet e rikuperimit, duke ofruar një platformë ideale për shfaqjen e një mesazhi zhvatjeje për viktimat. Mungesa e një shënimi shpërblesëje të shfaqur në mënyrë të dukshme dhe një email i caktuar thjesht si një etiketë disku mund të sugjerojë se këto sulme synojnë të jenë më shkatërrues në natyrë sesa të nxitura nga motive financiare.
Studiuesit kanë zbuluar se ShrinkLocker manifestohet në variante të shumta dhe është vendosur kundër një entiteti qeveritar, si dhe kundër organizatave brenda sektorëve të prodhimit të çelikut dhe vaksinave në Meksikë, Indonezi dhe Jordani.
Kompanitë që përdorin BitLocker në sistemet e tyre këshillohen fuqimisht të sigurojnë ruajtjen e sigurt të çelësave të rikuperimit dhe të mbajnë kopje rezervë të rregullt jashtë linje që testohen periodikisht. Për më tepër, organizatave u kërkohet të vendosin një zgjidhje të konfiguruar siç duhet të Platformës së Mbrojtjes së Endpointit (EPP) për të zbuluar përpjekjet për abuzimin e BitLocker, për të zbatuar privilegjet minimale të përdoruesit, për të mundësuar regjistrimin dhe monitorimin gjithëpërfshirës të trafikut të rrjetit (duke përfshirë kërkesat GET dhe POST), gjurmimin e ngjarjeve të lidhura me Ekzekutimi i VBS dhe PowerShell dhe regjistrimi i skripteve përkatëse.
ShrinkLocker Ransomware Video
Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.
