СхринкЛоцкер Рансомваре
Бројни оператери рансомваре-а доводе у питање неопходност интегрисања механизма крипто-закључавања у своје претње од малвера, с обзиром на доступност Мицрософтовог робусног софтвера за шифровање у оквиру Виндовс-а. Један значајан пример који су истакли стручњаци за сајбер безбедност је СхринкЛоцкер. Ова варијанта рансомваре-а успоставља нову партицију за покретање за шифровање корпоративних система користећи Виндовс БитЛоцкер.
Преглед садржаја
Актери претњи закључавају податке злоупотребом легитимне функције Виндовс-а
Случајеви рансомваре-а који користе БитЛоцкер за шифровање рачунара нису неуобичајени. У једном случају, актер претње је искористио ову безбедносну функцију у оквиру Виндовс-а да шифрује 100ТБ података на 40 сервера у болници у Белгији. Слично томе, други нападач је користио БитЛоцкер за шифровање система који припадају произвођачу и дистрибутеру меса из Москве. Мицрософт је издао упозорење у септембру 2022., откривајући да је нападач који је спонзорисала иранска држава користио БитЛоцкер за шифровање система који користе Виндовс 10, Виндовс 11 или Виндовс Сервер 2016 и новији.
Међутим, након проучавања СхринкЛоцкер-а, стручњаци упозоравају да ова претња показује раније неоткривене карактеристике које имају за циљ да појачају обим утицаја напада.
СхринкЛоцкер се извршава само када се испуне одређене спецификације
СхринкЛоцкер, кодиран у Висуал Басиц Сцриптинг-у (ВБСцрипт), језику који је Мицрософт увео још 1996. године, а сада је на изласку. Међу својим функционалностима, претња показује способност да идентификује специфичну верзију Виндовс-а која ради на циљној машини коришћењем Виндовс Манагемент Инструментатион (ВМИ) са класом Вин32_ОператингСистем.
Напад се наставља само под одређеним условима, као што је тренутни домен који одговара циљу и верзија оперативног система (ОС) је новија од Висте. У супротном, СхринкЛоцкер аутоматски закључује и сам се брише. Када мета испуни критеријуме напада, злонамерни софтвер користи услужни програм за део диска у Виндовс-у да смањи сваку партицију која се не покреће за 100МБ, делећи недодељени простор на нове примарне волумене идентичне величине.
Истраживачи примећују да у Виндовс 2008 и 2012, СхринкЛоцкер Рансомваре у почетку чува датотеке за покретање заједно са индексом других волумена. Сличне операције промене величине се спроводе на другим верзијама оперативног система Виндовс, али са различитим сегментима кода, као што је наведено у техничкој анализи истраживача. Након тога, злонамерни софтвер користи алатку командне линије БЦДЕдит да би поново инсталирао датотеке за покретање на новогенерисаним партицијама.
СхринкЛоцкер Рансомваре чини податке на читавим партицијама диска неупотребљивим
СхринкЛоцкер такође мења уносе у регистратору да би онемогућио везе са удаљеном радном површином или омогућио БитЛоцкер шифровање на хостовима без модула поуздане платформе (ТПМ). Овај наменски чип пружа хардверске функције везане за безбедност.
Глумац који стоји иза СхринкЛоцкер-а не испушта датотеку откупнине да би успоставио канал комуникације са жртвом. Уместо тога, они дају адресу е-поште за контакт (онбоардингбиндер@протон.ме, цонспирациид9@протонмаил.цом) као ознаку за нове партиције за покретање. Међутим, администратори неће видети ову ознаку осим ако не покрену уређај помоћу окружења за опоравак или путем других дијагностичких алата, што га чини прилично лако промашеним.
Након шифровања диск јединица, актер претње брише БитЛоцкер заштитнике (нпр. ТПМ, ПИН, кључ за покретање, лозинку, лозинку за опоравак, кључ за опоравак) како би жртви ускратио било какву опцију да поврати БитЛоцкер кључ за шифровање, који се шаље нападачу.
Кључ генерисан за шифровање датотека је комбинација од 64 знака случајног множења и замене променљиве бројевима од 0-9, специјалним знаковима и холоалфабетском реченицом „Брза смеђа лисица прескаче лењог пса“. Кључ се испоручује преко алатке ТриЦлоудфларе, легитимне услуге за програмере да експериментишу са ЦлоудФларе тунелом без додавања сајта ЦлоудФларе-овом ДНС-у.
У завршној фази напада, СхринкЛоцкер присиљава систем да се искључи како би све промене ступиле на снагу и оставио корисника са закључаним дисковима и без опција опоравка БитЛоцкер-а.
Актери претњи СхринкЛоцкер можда нису финансијски вођени
БитЛоцкер нуди опцију за креирање персонализоване поруке на екранима за опоравак, пружајући идеалну платформу за приказивање поруке изнуде жртвама. Одсуство истакнуте напомене о откупнини и е-поруке која је само означена као ознака диск јединице може сугерисати да су ови напади по својој природи више деструктивни него вођени финансијским мотивима.
Истраживачи су открили да се СхринкЛоцкер манифестује у више варијанти и да је распоређен против владиног ентитета, као и организација унутар сектора производње челика и вакцина у Мексику, Индонезији и Јордану.
Компанијама које користе БитЛоцкер на својим системима се препоручује да обезбеде безбедно складиштење кључева за опоравак и одржавају редовне резервне копије ван мреже које се повремено тестирају. Штавише, организације се позивају да примене правилно конфигурисано решење Ендпоинт Протецтион Платформ (ЕПП) за откривање покушаја злоупотребе БитЛоцкер-а, спровођење минималних привилегија корисника, омогућавање свеобухватног евидентирања и надгледања мрежног саобраћаја (укључујући и ГЕТ и ПОСТ захтеве), праћење догађаја повезаних са Извршење ВБС-а и ПоверСхелл-а и евидентирање релевантних скрипти.
СхринкЛоцкер Рансомваре Видео
Савет: Укључите звук и гледајте видео у режиму целог екрана .
