ShrinkLocker แรนซัมแวร์

โดย Mezo ใน Ransomware

แปลเป็น:

ผู้ดำเนินการแรนซัมแวร์จำนวนมากตั้งคำถามถึงความจำเป็นในการรวมกลไกการล็อคการเข้ารหัสลับเข้ากับภัยคุกคามมัลแวร์ เนื่องจากความพร้อมใช้งานของซอฟต์แวร์เข้ารหัสที่แข็งแกร่งของ Microsoft ภายใน Windows ตัวอย่างที่โดดเด่นอย่างหนึ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เน้นย้ำคือ ShrinkLocker ตัวแปรแรนซัมแวร์นี้สร้างพาร์ติชันสำหรับบูตใหม่เพื่อเข้ารหัสระบบองค์กรโดยใช้ Windows BitLocker

สารบัญ

ผู้คุกคามล็อคข้อมูลโดยการใช้คุณสมบัติ Windows ที่ถูกต้องตามกฎหมาย

อินสแตนซ์ของแรนซัมแวร์ที่ใช้ BitLocker เพื่อเข้ารหัสคอมพิวเตอร์ไม่ใช่เรื่องแปลก ในกรณีหนึ่ง ผู้คุกคามใช้ประโยชน์จากฟีเจอร์ความปลอดภัยนี้ภายใน Windows เพื่อเข้ารหัสข้อมูลขนาด 100TB บนเซิร์ฟเวอร์ 40 เครื่องที่โรงพยาบาลแห่งหนึ่งในเบลเยียม ในทำนองเดียวกัน ผู้โจมตีรายอื่นใช้ BitLocker เพื่อเข้ารหัสระบบที่เป็นของผู้ผลิตและจัดจำหน่ายเนื้อสัตว์ในมอสโก Microsoft ออกคำเตือนในเดือนกันยายน 2022 โดยเปิดเผยว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐอิหร่านได้ใช้ BitLocker เพื่อเข้ารหัสระบบที่ใช้ Windows 10, Windows 11 หรือ Windows Server 2016 และใหม่กว่า

อย่างไรก็ตาม เมื่อพิจารณา ShrinkLocker อย่างละเอียดแล้ว ผู้เชี่ยวชาญเตือนว่าภัยคุกคามนี้แสดงคุณสมบัติที่ไม่เปิดเผยก่อนหน้านี้โดยมีวัตถุประสงค์เพื่อขยายขอบเขตผลกระทบของการโจมตี

ShrinkLocker จะดำเนินการเฉพาะเมื่อตรงตามข้อกำหนดบางประการเท่านั้น

ShrinkLocker ซึ่งเขียนโค้ดใน Visual Basic Scripting (VBScript) ซึ่งเป็นภาษาที่ Microsoft เปิดตัวเมื่อปี 1996 และขณะนี้กำลังใกล้จะเปิดตัวแล้ว ในบรรดาฟังก์ชันต่างๆ ภัยคุกคามดังกล่าวแสดงให้เห็นถึงความสามารถในการระบุเวอร์ชัน Windows เฉพาะที่ทำงานบนเครื่องเป้าหมายโดยใช้ Windows Management Instrumentation (WMI) กับคลาส Win32_OperatingSystem

การโจมตีจะดำเนินการภายใต้เงื่อนไขเฉพาะเท่านั้น เช่น โดเมนปัจจุบันที่ตรงกับเป้าหมายและเวอร์ชันของระบบปฏิบัติการ (OS) ที่ใหม่กว่า Vista มิฉะนั้น ShrinkLocker จะสรุปโดยอัตโนมัติและลบตัวเอง เมื่อเป้าหมายตรงตามเกณฑ์ของการโจมตี มัลแวร์จะใช้ยูทิลิตี้ส่วนของดิสก์ใน Windows เพื่อลดขนาดพาร์ติชันที่ไม่ใช่บูตทั้งหมด 100MB โดยแบ่งพื้นที่ที่ไม่ได้ถูกจัดสรรออกเป็นวอลุ่มหลักใหม่ที่มีขนาดเท่ากัน

นักวิจัยทราบว่าใน Windows 2008 และ 2012 ShrinkLocker Ransomware จะเก็บรักษาไฟล์สำหรับบูตไว้ตั้งแต่แรกพร้อมกับดัชนีของวอลุ่มอื่นๆ การดำเนินการปรับขนาดที่คล้ายกันจะดำเนินการในระบบปฏิบัติการ Windows เวอร์ชันอื่นๆ แม้ว่าจะมีส่วนของโค้ดที่แตกต่างกันก็ตาม ดังที่ระบุไว้ในการวิเคราะห์ทางเทคนิคของนักวิจัย ต่อจากนั้น มัลแวร์ใช้เครื่องมือบรรทัดคำสั่ง BCDEdit เพื่อติดตั้งไฟล์บูตใหม่บนพาร์ติชันที่สร้างขึ้นใหม่

ShrinkLocker Ransomware ทำให้ข้อมูลบนพาร์ติชันไดรฟ์ทั้งหมดใช้งานไม่ได้

ShrinkLocker ยังแก้ไขรายการรีจิสตรีเพื่อปิดใช้งานการเชื่อมต่อเดสก์ท็อประยะไกลหรือเปิดใช้งานการเข้ารหัส BitLocker บนโฮสต์ที่ไม่มี Trusted Platform Module (TPM) ชิปเฉพาะนี้มีฟังก์ชันเกี่ยวกับฮาร์ดแวร์และความปลอดภัย

ผู้คุกคามที่อยู่เบื้องหลัง ShrinkLocker จะไม่ทิ้งไฟล์เรียกค่าไถ่เพื่อสร้างช่องทางการสื่อสารกับเหยื่อ แต่จะให้ที่อยู่อีเมลสำหรับติดต่อ (onboardingbinder@proton.me, conspiracyid9@protonmail.com) แทนเป็นป้ายกำกับของพาร์ติชันสำหรับเริ่มระบบใหม่ อย่างไรก็ตาม ผู้ดูแลระบบจะไม่เห็นป้ายกำกับนี้ เว้นแต่พวกเขาจะบู๊ตอุปกรณ์โดยใช้สภาพแวดล้อมการกู้คืนหรือผ่านเครื่องมือวินิจฉัยอื่นๆ ซึ่งทำให้พลาดได้ง่าย

หลังจากเข้ารหัสไดรฟ์ ผู้คุกคามจะลบตัวป้องกัน BitLocker (เช่น TPM, PIN, คีย์เริ่มต้น, รหัสผ่าน, รหัสผ่านการกู้คืน, คีย์การกู้คืน) เพื่อปฏิเสธตัวเลือกใด ๆ ของเหยื่อในการกู้คืนคีย์เข้ารหัสของ BitLocker ซึ่งถูกส่งไปยังผู้โจมตี

คีย์ที่สร้างขึ้นสำหรับการเข้ารหัสไฟล์คือการรวมกัน 64 ตัวอักษรของการคูณแบบสุ่มและการแทนที่ตัวแปรด้วยตัวเลข 0-9 อักขระพิเศษ และประโยคโฮโลตัวอักษร 'สุนัขจิ้งจอกสีน้ำตาลเร็วกระโดดข้ามสุนัขขี้เกียจ' คีย์จะถูกส่งผ่านเครื่องมือ TryCloudflare ซึ่งเป็นบริการที่ถูกต้องตามกฎหมายสำหรับนักพัฒนาในการทดลองกับ Tunnel ของ CloudFlare โดยไม่ต้องเพิ่มไซต์ลงใน DNS ของ CloudFlare

ในขั้นตอนสุดท้ายของการโจมตี ShrinkLocker จะบังคับให้ระบบปิดตัวลงเพื่อให้การเปลี่ยนแปลงทั้งหมดมีผล และทำให้ผู้ใช้ถูกล็อคไดรฟ์และไม่มีตัวเลือกการกู้คืนด้วย BitLocker

ผู้คุกคาม ShrinkLocker อาจไม่ได้รับการขับเคลื่อนทางการเงิน

BitLocker เสนอตัวเลือกในการสร้างข้อความส่วนตัวบนหน้าจอการกู้คืน ซึ่งเป็นแพลตฟอร์มที่เหมาะสำหรับการแสดงข้อความขู่กรรโชกต่อเหยื่อ การไม่มีข้อความเรียกค่าไถ่ที่แสดงอย่างเด่นชัดและอีเมลที่กำหนดให้เป็นป้ายกำกับไดรฟ์อาจบ่งบอกว่าการโจมตีเหล่านี้มีจุดมุ่งหมายเพื่อสร้างความเสียหายมากกว่าที่จะขับเคลื่อนด้วยแรงจูงใจทางการเงิน

นักวิจัยได้เปิดเผยว่า ShrinkLocker ปรากฏอยู่ในหลายรูปแบบ และถูกนำไปใช้กับหน่วยงานภาครัฐ รวมถึงองค์กรต่างๆ ในภาคการผลิตเหล็กและวัคซีนในเม็กซิโก อินโดนีเซีย และจอร์แดน

ขอแนะนำอย่างยิ่งให้บริษัทที่ใช้ BitLocker ในระบบของตนเพื่อให้แน่ใจว่ามีการจัดเก็บคีย์การกู้คืนที่ปลอดภัย และดูแลรักษาการสำรองข้อมูลออฟไลน์เป็นประจำซึ่งมีการทดสอบเป็นระยะๆ นอกจากนี้ องค์กรต่างๆ ได้รับการกระตุ้นให้ปรับใช้โซลูชัน Endpoint Protection Platform (EPP) ที่กำหนดค่าอย่างเหมาะสมเพื่อตรวจจับความพยายามในการใช้ BitLocker ในทางที่ผิด บังคับใช้สิทธิ์ผู้ใช้ขั้นต่ำ เปิดใช้งานการบันทึกที่ครอบคลุมและการตรวจสอบการรับส่งข้อมูลเครือข่าย (รวมถึงคำขอ GET และ POST) ติดตามเหตุการณ์ที่เกี่ยวข้องกับ การดำเนินการ VBS และ PowerShell และบันทึกสคริปต์ที่เกี่ยวข้อง