ஷ்ரிங்க்லாக்கர் ரான்சம்வேர்
பல ransomware ஆபரேட்டர்கள் தங்கள் தீம்பொருள் அச்சுறுத்தல்களில் கிரிப்டோ-லாக்கிங் பொறிமுறையை ஒருங்கிணைக்க வேண்டியதன் அவசியத்தை கேள்விக்குள்ளாக்குகின்றனர், மைக்ரோசாப்டின் வலுவான குறியாக்க மென்பொருள் விண்டோஸில் உள்ளது. சைபர் செக்யூரிட்டி நிபுணர்களால் குறிப்பிடப்பட்ட ஒரு குறிப்பிடத்தக்க உதாரணம் ஷ்ரிங்க்லாக்கர். இந்த ransomware மாறுபாடு Windows BitLocker ஐப் பயன்படுத்தி கார்ப்பரேட் அமைப்புகளை குறியாக்க புதிய துவக்க பகிர்வை நிறுவுகிறது.
பொருளடக்கம்
முறையான விண்டோஸ் அம்சத்தை தவறாகப் பயன்படுத்துவதன் மூலம் அச்சுறுத்தல் நடிகர்கள் தரவைப் பூட்டுகிறார்கள்
கணினிகளை குறியாக்க பிட்லாக்கரைப் பயன்படுத்தும் ransomware நிகழ்வுகள் அசாதாரணமானது அல்ல. ஒரு சந்தர்ப்பத்தில், பெல்ஜியத்தில் உள்ள ஒரு மருத்துவமனையில் 40 சர்வர்களில் 100TB தரவை குறியாக்க விண்டோஸில் உள்ள இந்த பாதுகாப்பு அம்சத்தை அச்சுறுத்தும் நடிகர் பயன்படுத்தினார். இதேபோல், மற்றொரு தாக்குபவர் மாஸ்கோவை தளமாகக் கொண்ட இறைச்சி உற்பத்தியாளர் மற்றும் விநியோகஸ்தருக்கு சொந்தமான அமைப்புகளை குறியாக்க BitLocker ஐப் பயன்படுத்தினார். மைக்ரோசாப்ட் செப்டம்பர் 2022 இல் ஒரு எச்சரிக்கையை வெளியிட்டது, இது ஈரானிய அரசின் ஆதரவுடன் தாக்குதல் நடத்துபவர் Windows 10, Windows 11 அல்லது Windows Server 2016 மற்றும் புதியவற்றில் இயங்கும் கணினிகளை குறியாக்க BitLocker ஐப் பயன்படுத்தியதை வெளிப்படுத்தியது.
இருப்பினும், ஷ்ரிங்க்லாக்கரை ஆய்வு செய்யும் போது, வல்லுநர்கள் இந்த அச்சுறுத்தல் தாக்குதலின் தாக்கத்தின் அளவைப் பெருக்கும் நோக்கில் முன்னர் வெளிப்படுத்தப்படாத அம்சங்களை வெளிப்படுத்துகிறது என்று எச்சரிக்கின்றனர்.
சில விவரக்குறிப்புகள் பூர்த்தி செய்யப்பட்டால் மட்டுமே ஷ்ரிங்க்லாக்கர் செயல்படுத்தப்படும்
ஷ்ரிங்க்லாக்கர், விஷுவல் பேசிக் ஸ்கிரிப்டிங்கில் (விபிஸ்கிரிப்ட்) குறியிடப்பட்டது, இது மைக்ரோசாப்ட் 1996 இல் அறிமுகப்படுத்திய மொழியாகும், இப்போது அது வெளிவருகிறது. அதன் செயல்பாடுகளில், Win32_OperatingSystem வகுப்புடன் Windows Management Instrumentation (WMI) ஐப் பயன்படுத்தி இலக்கு கணினியில் இயங்கும் குறிப்பிட்ட விண்டோஸ் பதிப்பை அடையாளம் காணும் திறனை அச்சுறுத்தல் நிரூபிக்கிறது.
இலக்கு மற்றும் இயக்க முறைமை (OS) பதிப்பு விஸ்டாவை விட புதியதாக இருக்கும் தற்போதைய டொமைன் போன்ற குறிப்பிட்ட நிபந்தனைகளின் கீழ் மட்டுமே தாக்குதல் தொடர்கிறது. இல்லையெனில், ஷ்ரிங்க்லாக்கர் தானாகவே முடிவடைகிறது மற்றும் சுயமாக நீக்குகிறது. இலக்கு தாக்குதலின் அளவுகோல்களை சந்திக்கும் போது, மால்வேர் விண்டோஸில் உள்ள வட்டு பகுதி பயன்பாட்டைப் பயன்படுத்தி, ஒவ்வொரு துவக்க அல்லாத பகிர்வையும் 100MB ஆல் சுருக்கி, ஒதுக்கப்படாத இடத்தை ஒரே அளவிலான புதிய முதன்மை தொகுதிகளாகப் பிரிக்கிறது.
விண்டோஸ் 2008 மற்றும் 2012 இல், ShrinkLocker Ransomware துவக்க கோப்புகளை மற்ற தொகுதிகளின் குறியீட்டுடன் சேர்த்து பாதுகாக்கிறது என்று ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர். ஆராய்ச்சியாளர்களின் தொழில்நுட்ப பகுப்பாய்வில் கோடிட்டுக் காட்டப்பட்டுள்ளபடி, வெவ்வேறு குறியீடு பிரிவுகளுடன் இருந்தாலும், இதேபோன்ற மறுஅளவிடுதல் செயல்பாடுகள் பிற Windows OS பதிப்புகளில் நடத்தப்படுகின்றன. பின்னர், புதிதாக உருவாக்கப்பட்ட பகிர்வுகளில் துவக்க கோப்புகளை மீண்டும் நிறுவ BCDEdit கட்டளை வரி கருவியை தீம்பொருள் பயன்படுத்துகிறது.
ஷ்ரிங்க்லாக்கர் ரான்சம்வேர் முழு டிரைவ் பகிர்வுகளின் தரவையும் பயன்படுத்த முடியாததாக மாற்றுகிறது
ரிமோட் டெஸ்க்டாப் இணைப்புகளை முடக்க அல்லது நம்பகமான பிளாட்ஃபார்ம் மாட்யூல் (டிபிஎம்) இல்லாத ஹோஸ்ட்களில் பிட்லாக்கர் குறியாக்கத்தை இயக்க ஷ்ரிங்க்லாக்கர் ரெஜிஸ்ட்ரி உள்ளீடுகளையும் மாற்றியமைக்கிறது. இந்த பிரத்யேக சிப் வன்பொருள் சார்ந்த, பாதுகாப்பு தொடர்பான செயல்பாடுகளை வழங்குகிறது.
ஷ்ரிங்க்லாக்கருக்குப் பின்னால் உள்ள அச்சுறுத்தல் நடிகர் பாதிக்கப்பட்டவருடன் ஒரு தகவல்தொடர்பு சேனலை நிறுவ மீட்கும் கோப்பை கைவிடவில்லை. அதற்கு பதிலாக, புதிய துவக்க பகிர்வுகளின் லேபிளாக அவர்கள் ஒரு தொடர்பு மின்னஞ்சல் முகவரியை (onboardingbinder@proton.me, conspiracyid9@protonmail.com) வழங்குகிறார்கள். இருப்பினும், மீட்டெடுப்பு சூழலைப் பயன்படுத்தி அல்லது பிற கண்டறியும் கருவிகள் மூலம் சாதனத்தை துவக்கும் வரை, நிர்வாகிகளால் இந்த லேபிளைப் பார்க்க முடியாது, இது தவறவிடுவது மிகவும் எளிதானது.
டிரைவ்களை என்க்ரிப்ட் செய்த பிறகு, அச்சுறுத்தல் நடிகர் பிட்லாக்கர் பாதுகாப்பாளர்களை (எ.கா., TPM, PIN, ஸ்டார்ட்அப் கீ, கடவுச்சொல், மீட்பு கடவுச்சொல், மீட்பு விசை) நீக்கி, பாதிக்கப்பட்டவருக்கு BitLocker இன் குறியாக்க விசையை மீட்டெடுப்பதற்கான எந்த விருப்பத்தையும் மறுக்கிறார், இது தாக்குபவர்களுக்கு அனுப்பப்படுகிறது.
கோப்புகளை என்க்ரிப்ட் செய்வதற்காக உருவாக்கப்பட்ட விசையானது, 0-9 எண்கள், சிறப்பு எழுத்துக்கள் மற்றும் 'தி க்விக் பிரவுன் ஃபாக்ஸ் ஜம்ப்ஸ் ஓவர் தி சோம்பேறி டாக்' என்ற ஹோலோஅல்ஃபாபெடிக் வாக்கியத்துடன் 64-எழுத்துகள் கொண்ட சீரற்ற பெருக்கல் மற்றும் மாற்றாகும். CloudFlare இன் DNS இல் தளத்தைச் சேர்க்காமல், CloudFlare இன் டன்னலைப் பரிசோதனை செய்வதற்கான டெவலப்பர்களுக்கான முறையான சேவையான, TryCloudflare கருவி மூலம் விசை வழங்கப்படுகிறது.
தாக்குதலின் இறுதி கட்டத்தில், ShrinkLocker ஆனது அனைத்து மாற்றங்களும் நடைமுறைக்கு வருவதற்கு கணினியை மூடும்படி கட்டாயப்படுத்துகிறது மற்றும் பயனரை இயக்கிகள் பூட்டப்பட்ட நிலையில் விட்டுவிடும் மற்றும் BitLocker மீட்பு விருப்பங்கள் இல்லை.
ஷ்ரிங்க்லாக்கர் அச்சுறுத்தல் நடிகர்கள் நிதி ரீதியாக இயக்கப்படாமல் இருக்கலாம்
பிட்லாக்கர் மீட்புத் திரைகளில் தனிப்பயனாக்கப்பட்ட செய்தியை உருவாக்குவதற்கான விருப்பத்தை வழங்குகிறது, இது பாதிக்கப்பட்டவர்களுக்கு மிரட்டி பணம் பறிக்கும் செய்தியைக் காண்பிப்பதற்கான சிறந்த தளத்தை வழங்குகிறது. முக்கியமாகக் காட்டப்பட்ட மீட்கும் குறிப்பு மற்றும் ஒரு டிரைவ் லேபிளாக நியமிக்கப்பட்ட மின்னஞ்சலில் இல்லாதது, இந்தத் தாக்குதல்கள் நிதி நோக்கங்களால் உந்தப்படுவதற்குப் பதிலாக இயற்கையில் மிகவும் அழிவுகரமானதாக இருக்க வேண்டும் என்று பரிந்துரைக்கலாம்.
ShrinkLocker பல வகைகளில் வெளிப்பட்டு அரசாங்க நிறுவனத்திற்கு எதிராகவும், மெக்சிகோ, இந்தோனேசியா மற்றும் ஜோர்டான் ஆகிய நாடுகளில் உள்ள எஃகு மற்றும் தடுப்பூசி உற்பத்தித் துறைகளில் உள்ள நிறுவனங்களுக்கு எதிராகவும் பயன்படுத்தப்பட்டுள்ளது என்பதை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர்.
பிட்லாக்கரை தங்கள் கணினிகளில் பயன்படுத்தும் நிறுவனங்கள், மீட்பு விசைகளின் பாதுகாப்பான சேமிப்பகத்தை உறுதிசெய்யவும், அவ்வப்போது சோதிக்கப்படும் வழக்கமான ஆஃப்லைன் காப்புப்பிரதிகளைப் பராமரிக்கவும் கடுமையாக அறிவுறுத்தப்படுகின்றன. மேலும், BitLocker துஷ்பிரயோகத்திற்கான முயற்சிகளைக் கண்டறிவதற்கும், குறைந்தபட்ச பயனர் சலுகைகளைச் செயல்படுத்துவதற்கும், விரிவான பதிவுசெய்தல் மற்றும் நெட்வொர்க் ட்ராஃபிக்கைக் கண்காணிப்பதற்கும் (GET மற்றும் POST கோரிக்கைகளுடன் தொடர்புடைய நிகழ்வுகள் உட்பட) நிகழ்வுகளைக் கண்காணிக்க ஒழுங்காக கட்டமைக்கப்பட்ட எண்ட்பாயிண்ட் பாதுகாப்பு தளம் (EPP) தீர்வைப் பயன்படுத்துமாறு நிறுவனங்கள் வலியுறுத்தப்படுகின்றன. விபிஎஸ் மற்றும் பவர்ஷெல் செயல்படுத்துதல் மற்றும் தொடர்புடைய ஸ்கிரிப்ட்களை பதிவு செய்தல்.
ஷ்ரிங்க்லாக்கர் ரான்சம்வேர் வீடியோ
உதவிக்குறிப்பு: உங்கள் ஒலியை இயக்கி , வீடியோவை முழுத்திரை பயன்முறையில் பார்க்கவும் .
