ShrinkLocker Ransomware

అనేకమంది ransomware ఆపరేటర్‌లు Windowsలో Microsoft యొక్క బలమైన ఎన్‌క్రిప్షన్ సాఫ్ట్‌వేర్ లభ్యత కారణంగా, వారి మాల్వేర్ బెదిరింపులలో క్రిప్టో-లాకింగ్ మెకానిజంను ఏకీకృతం చేయవలసిన అవసరాన్ని ప్రశ్నిస్తున్నారు. సైబర్‌ సెక్యూరిటీ నిపుణులు హైలైట్ చేసిన ఒక ముఖ్యమైన ఉదాహరణ ష్రింక్‌లాకర్. ఈ ransomware వేరియంట్ Windows BitLockerని ఉపయోగించి కార్పొరేట్ సిస్టమ్‌లను గుప్తీకరించడానికి తాజా బూట్ విభజనను ఏర్పాటు చేస్తుంది.

చట్టబద్ధమైన విండోస్ ఫీచర్‌ను దుర్వినియోగం చేయడం ద్వారా నటులు డేటాను లాక్ చేస్తారు

కంప్యూటర్‌లను గుప్తీకరించడానికి ransomware బిట్‌లాకర్‌ను ఉపయోగించే సందర్భాలు అసాధారణం కాదు. ఒక సందర్భంలో, బెదిరింపు నటుడు బెల్జియంలోని ఆసుపత్రిలో 40 సర్వర్‌లలో 100TB డేటాను గుప్తీకరించడానికి విండోస్‌లోని ఈ భద్రతా ఫీచర్‌ను ఉపయోగించారు. అదేవిధంగా, మరొక దాడి చేసే వ్యక్తి మాస్కోకు చెందిన మాంసం ఉత్పత్తిదారు మరియు పంపిణీదారుకు చెందిన సిస్టమ్‌లను గుప్తీకరించడానికి BitLockerని ఉపయోగించాడు. Windows 10, Windows 11, లేదా Windows Server 2016 మరియు కొత్తవి నడుస్తున్న సిస్టమ్‌లను గుప్తీకరించడానికి ఇరానియన్ రాష్ట్ర-ప్రాయోజిత దాడి చేసే వ్యక్తి BitLockerని ఉపయోగించినట్లు వెల్లడిస్తూ, సెప్టెంబర్ 2022లో Microsoft హెచ్చరిక జారీ చేసింది.

అయినప్పటికీ, ష్రింక్‌లాకర్‌ను పరిశీలించిన తర్వాత, నిపుణులు ఈ ముప్పు దాడి యొక్క ప్రభావాన్ని విస్తరించే లక్ష్యంతో గతంలో వెల్లడించని లక్షణాలను ప్రదర్శిస్తుందని హెచ్చరిస్తున్నారు.

నిర్దిష్ట స్పెసిఫికేషన్‌లు నెరవేరినప్పుడు మాత్రమే ష్రింక్‌లాకర్ అమలు చేయబడుతుంది

ష్రింక్‌లాకర్, విజువల్ బేసిక్ స్క్రిప్టింగ్ (VBScript)లో కోడ్ చేయబడింది, ఇది మైక్రోసాఫ్ట్ ద్వారా 1996లో తిరిగి ప్రవేశపెట్టబడింది మరియు ఇప్పుడు దాని మార్గంలో ఉంది. దాని కార్యాచరణలలో, Win32_OperatingSystem క్లాస్‌తో Windows మేనేజ్‌మెంట్ ఇన్‌స్ట్రుమెంటేషన్ (WMI)ని ఉపయోగించడం ద్వారా టార్గెట్ మెషీన్‌లో నడుస్తున్న నిర్దిష్ట విండోస్ వెర్షన్‌ను గుర్తించే సామర్థ్యాన్ని ముప్పు ప్రదర్శిస్తుంది.

ప్రస్తుత డొమైన్ లక్ష్యంతో సరిపోలడం మరియు ఆపరేటింగ్ సిస్టమ్ (OS) సంస్కరణ Vista కంటే కొత్తది వంటి నిర్దిష్ట పరిస్థితులలో మాత్రమే దాడి కొనసాగుతుంది. లేకపోతే, ShrinkLocker స్వయంచాలకంగా ముగుస్తుంది మరియు స్వీయ-తొలగిస్తుంది. లక్ష్యం దాడి ప్రమాణాలకు అనుగుణంగా ఉన్నప్పుడు, మాల్వేర్ ప్రతి బూట్ కాని విభజనను 100MB ద్వారా కుదించడానికి విండోస్‌లోని డిస్క్ పార్ట్ యుటిలిటీని ఉపయోగిస్తుంది, కేటాయించని స్థలాన్ని ఒకే పరిమాణాల కొత్త ప్రాథమిక వాల్యూమ్‌లుగా విభజిస్తుంది.

Windows 2008 మరియు 2012లో, ShrinkLocker Ransomware ప్రారంభంలో ఇతర వాల్యూమ్‌ల సూచికతో పాటు బూట్ ఫైల్‌లను భద్రపరుస్తుందని పరిశోధకులు గమనించారు. పరిశోధకుల సాంకేతిక విశ్లేషణలో వివరించిన విధంగా, వివిధ కోడ్ విభాగాలతో ఉన్నప్పటికీ, ఇతర Windows OS సంస్కరణల్లో ఇలాంటి పునఃపరిమాణ కార్యకలాపాలు నిర్వహించబడతాయి. తదనంతరం, మాల్వేర్ BCDEdit కమాండ్-లైన్ సాధనాన్ని కొత్తగా రూపొందించిన విభజనలలో బూట్ ఫైల్‌లను మళ్లీ ఇన్‌స్టాల్ చేయడానికి ఉపయోగిస్తుంది.

ShrinkLocker Ransomware మొత్తం డ్రైవ్ విభజనలపై డేటాను ఉపయోగించలేనిదిగా చేస్తుంది

ష్రింక్‌లాకర్ రిమోట్ డెస్క్‌టాప్ కనెక్షన్‌లను నిలిపివేయడానికి లేదా విశ్వసనీయ ప్లాట్‌ఫారమ్ మాడ్యూల్ (TPM) లేకుండా హోస్ట్‌లలో BitLocker ఎన్‌క్రిప్షన్‌ను ఎనేబుల్ చేయడానికి రిజిస్ట్రీ ఎంట్రీలను కూడా మారుస్తుంది. ఈ అంకితమైన చిప్ హార్డ్‌వేర్-ఆధారిత, భద్రత-సంబంధిత ఫంక్షన్‌లను అందిస్తుంది.

ష్రింక్‌లాకర్ వెనుక ఉన్న బెదిరింపు నటుడు బాధితుడితో కమ్యూనికేషన్ ఛానెల్‌ని స్థాపించడానికి విమోచన ఫైల్‌ను వదలడు. బదులుగా, వారు కొత్త బూట్ విభజనల లేబుల్‌గా సంప్రదింపు ఇమెయిల్ చిరునామాను (onboardingbinder@proton.me, conspiracyid9@protonmail.com) అందిస్తారు. అయినప్పటికీ, రికవరీ ఎన్విరాన్మెంట్ ఉపయోగించి లేదా ఇతర డయాగ్నొస్టిక్ టూల్స్ ద్వారా పరికరాన్ని బూట్ చేస్తే తప్ప, నిర్వాహకులు ఈ లేబుల్ చూడలేరు, ఇది మిస్ చేయడం చాలా సులభం.

డ్రైవ్‌లను ఎన్‌క్రిప్ట్ చేసిన తర్వాత, బెదిరింపు నటుడు BitLocker ప్రొటెక్టర్‌లను తొలగిస్తాడు (ఉదా., TPM, PIN, స్టార్టప్ కీ, పాస్‌వర్డ్, రికవరీ పాస్‌వర్డ్, రికవరీ కీ) బాధితుడికి BitLocker యొక్క ఎన్‌క్రిప్షన్ కీని పునరుద్ధరించడానికి ఎటువంటి ఎంపికను నిరాకరించడానికి, దాడి చేసేవారికి పంపబడుతుంది.

ఫైల్‌లను గుప్తీకరించడానికి రూపొందించబడిన కీ యాదృచ్ఛిక గుణకారం మరియు 0-9 సంఖ్యలు, ప్రత్యేక అక్షరాలు మరియు హోలోఅల్ఫాబెటిక్ వాక్యంతో వేరియబుల్‌ను భర్తీ చేయడం మరియు 'ది క్విక్ బ్రౌన్ ఫాక్స్ జంప్స్ ఓవర్ ది లేజీ డాగ్' అనే 64-అక్షరాల కలయిక. CloudFlare యొక్క DNSకి సైట్‌ను జోడించకుండానే CloudFlare యొక్క టన్నెల్‌తో ప్రయోగాలు చేయడానికి డెవలపర్‌లకు చట్టబద్ధమైన సేవ అయిన TryCloudflare సాధనం ద్వారా కీ అందించబడుతుంది.

దాడి యొక్క చివరి దశలో, ష్రింక్‌లాకర్ అన్ని మార్పులు అమలులోకి రావడానికి సిస్టమ్‌ను షట్ డౌన్ చేయమని బలవంతం చేస్తుంది మరియు డ్రైవ్‌లను లాక్ చేసి వినియోగదారుని వదిలివేస్తుంది మరియు బిట్‌లాకర్ రికవరీ ఎంపికలు లేవు.

ష్రింక్‌లాకర్ థ్రెట్ యాక్టర్స్ ఆర్థికంగా నడపబడకపోవచ్చు

BitLocker రికవరీ స్క్రీన్‌లపై వ్యక్తిగతీకరించిన సందేశాన్ని రూపొందించే ఎంపికను అందిస్తుంది, బాధితులకు దోపిడీ సందేశాన్ని ప్రదర్శించడానికి అనువైన ప్లాట్‌ఫారమ్‌ను అందిస్తుంది. ప్రముఖంగా ప్రదర్శించబడిన రాన్సమ్ నోట్ లేకపోవడం మరియు కేవలం డ్రైవ్ లేబుల్‌గా పేర్కొనబడిన ఇమెయిల్ ఈ దాడులు ఆర్థిక ఉద్దేశ్యాలతో కాకుండా ప్రకృతిలో మరింత విధ్వంసకరం కావడానికి ఉద్దేశించినవని సూచించవచ్చు.

మెక్సికో, ఇండోనేషియా మరియు జోర్డాన్‌లలోని ఉక్కు మరియు వ్యాక్సిన్ తయారీ రంగాలలోని సంస్థలకు, అలాగే ప్రభుత్వ సంస్థకు వ్యతిరేకంగా ష్రింక్‌లాకర్ మానిఫెస్ట్ చేయబడిందని పరిశోధకులు కనుగొన్నారు.

తమ సిస్టమ్‌లలో బిట్‌లాకర్‌ని ఉపయోగిస్తున్న కంపెనీలు రికవరీ కీల సురక్షిత నిల్వను నిర్ధారించుకోవాలని మరియు క్రమానుగతంగా పరీక్షించబడే సాధారణ ఆఫ్‌లైన్ బ్యాకప్‌లను నిర్వహించాలని గట్టిగా సూచించబడ్డాయి. ఇంకా, బిట్‌లాకర్ దుర్వినియోగ ప్రయత్నాలను గుర్తించడానికి, కనీస వినియోగదారు అధికారాలను అమలు చేయడానికి, సమగ్ర లాగింగ్ మరియు నెట్‌వర్క్ ట్రాఫిక్‌ను పర్యవేక్షించడానికి (GET మరియు POST అభ్యర్థనలతో సహా) ఈవెంట్‌లను ట్రాక్ చేయడానికి సరిగ్గా కాన్ఫిగర్ చేయబడిన ఎండ్‌పాయింట్ ప్రొటెక్షన్ ప్లాట్‌ఫారమ్ (EPP) పరిష్కారాన్ని అమలు చేయాలని సంస్థలు కోరబడ్డాయి. VBS మరియు పవర్‌షెల్ అమలు, మరియు సంబంధిత స్క్రిప్ట్‌లను లాగ్ చేయండి.

ShrinkLocker Ransomware వీడియో

చిట్కా: మీ ధ్వనిని ఆన్ చేసి , వీడియోను పూర్తి స్క్రీన్ మోడ్‌లో చూడండి .