ShrinkLocker Ransomware
Många ransomware-operatörer ifrågasätter nödvändigheten av att integrera en kryptolåsningsmekanism i sina skadliga hot, med tanke på tillgången på Microsofts robusta krypteringsmjukvara i Windows. Ett anmärkningsvärt exempel som lyfts fram av cybersäkerhetsexperter är ShrinkLocker. Denna ransomware-variant etablerar en ny startpartition för att kryptera företagssystem som använder Windows BitLocker.
Innehållsförteckning
Hotskådespelare låser data genom att missbruka legitima Windows-funktioner
Förekomster av ransomware som använder BitLocker för att kryptera datorer är inte ovanliga. I ett fall utnyttjade en hotaktör denna säkerhetsfunktion i Windows för att kryptera 100 TB data över 40 servrar på ett sjukhus i Belgien. På liknande sätt använde en annan angripare BitLocker för att kryptera system som tillhör en Moskva-baserad köttproducent och distributör. Microsoft utfärdade en varning i september 2022 och avslöjade att en iransk statssponsrad angripare hade använt BitLocker för att kryptera system som kör Windows 10, Windows 11 eller Windows Server 2016 och senare.
Men efter att ha granskat ShrinkLocker, varnar experter för att detta hot uppvisar tidigare okända egenskaper som syftar till att förstärka omfattningen av attackens effekt.
ShrinkLocker körs endast när vissa specifikationer är uppfyllda
ShrinkLocker, kodat i Visual Basic Scripting (VBScript), ett språk som introducerades av Microsoft redan 1996 och är nu på väg ut. Bland dess funktioner demonstrerar hotet förmågan att identifiera den specifika Windows-versionen som körs på måldatorn genom att använda Windows Management Instrumentation (WMI) med klassen Win32_OperatingSystem.
Attacken fortsätter endast under specifika förhållanden, till exempel att den aktuella domänen matchar målet och versionen av operativsystemet (OS) är nyare än Vista. Annars avslutas ShrinkLocker automatiskt och raderar själv. När målet uppfyller attackens kriterier använder den skadliga programvaran diskdelsverktyget i Windows för att krympa alla partitioner som inte startar med 100 MB, och delar upp det oallokerade utrymmet i nya primära volymer av identiska storlekar.
Forskare noterar att i Windows 2008 och 2012 bevarar ShrinkLocker Ransomware initialt startfilerna tillsammans med indexet för andra volymer. Liknande storleksändringar utförs på andra Windows OS-versioner, om än med olika kodsegment, som beskrivs i forskarnas tekniska analys. Därefter använder skadlig programvara kommandoradsverktyget BCDEdit för att installera om startfilerna på de nygenererade partitionerna.
ShrinkLocker Ransomware gör data på hela enhetspartitioner oanvändbara
ShrinkLocker ändrar också registerposter för att inaktivera fjärrskrivbordsanslutningar eller aktivera BitLocker-kryptering på värdar utan en Trusted Platform Module (TPM). Detta dedikerade chip ger hårdvarubaserade, säkerhetsrelaterade funktioner.
Hotaktören bakom ShrinkLocker släpper inte en lösenfil för att upprätta en kommunikationskanal med offret. Istället tillhandahåller de en kontaktadress (onboardingbinder@proton.me, conspiracyid9@protonmail.com) som etiketten för de nya startpartitionerna. Den här etiketten kommer dock inte att ses av administratörer om de inte startar enheten med hjälp av en återställningsmiljö eller genom andra diagnostiska verktyg, vilket gör det ganska lätt att missa.
Efter att ha krypterat enheterna tar hotaktören bort BitLocker-skydden (t.ex. TPM, PIN, startnyckel, lösenord, återställningslösenord, återställningsnyckel) för att neka offret något alternativ att återställa BitLockers krypteringsnyckel, som skickas till angriparen.
Nyckeln som genereras för att kryptera filer är en kombination av 64 tecken av slumpmässig multiplikation och ersättning av en variabel med 0-9 siffror, specialtecken och den holoalfabetiska meningen "Den snabba bruna räven hoppar över den lata hunden." Nyckeln levereras genom verktyget TryCloudflare, en legitim tjänst för utvecklare att experimentera med CloudFlares tunnel utan att lägga till en webbplats till CloudFlares DNS.
I slutskedet av attacken tvingar ShrinkLocker systemet att stängas av för att alla ändringar ska träda i kraft och lämnar användaren med hårddiskarna låsta och inga BitLocker-återställningsalternativ.
ShrinkLocker-hotaktörerna kanske inte är ekonomiskt drivna
BitLocker erbjuder möjligheten att skapa ett personligt meddelande på återställningsskärmar, vilket ger en idealisk plattform för att visa ett utpressningsmeddelande till offer. Frånvaron av en väl synlig lösennota och ett e-postmeddelande som bara betecknas som en enhetsetikett kan tyda på att dessa attacker är avsedda att vara mer destruktiva till sin natur snarare än att drivas av ekonomiska motiv.
Forskare har avslöjat att ShrinkLocker manifesterar sig i flera varianter och har utplacerats mot en statlig enhet, såväl som organisationer inom stål- och vaccintillverkningssektorerna i Mexiko, Indonesien och Jordanien.
Företag som använder BitLocker på sina system rekommenderas starkt att säkerställa säker lagring av återställningsnycklar och underhålla regelbundna offline-säkerhetskopior som testas regelbundet. Dessutom uppmanas organisationer att distribuera en korrekt konfigurerad Endpoint Protection Platform-lösning (EPP) för att upptäcka försök till BitLocker-missbruk, genomdriva minimala användarprivilegier, möjliggöra omfattande loggning och övervakning av nätverkstrafik (inklusive både GET- och POST-förfrågningar), spåra händelser associerade med VBS- och PowerShell-körning och logga relevanta skript.
ShrinkLocker Ransomware Video
Tips: Slå PÅ ljudet och titta på videon i helskärmsläge .
