ShrinkLocker Ransomware

Sa pamamagitan ng Mezo sa Ransomware

Isalin To:

Maraming ransomware operator ang nagtatanong sa pangangailangan ng pagsasama ng mekanismo ng pag-lock ng crypto sa kanilang mga banta sa malware, dahil sa pagkakaroon ng matatag na software sa pag-encrypt ng Microsoft sa loob ng Windows. Isang kapansin-pansing instance na na-highlight ng mga eksperto sa cybersecurity ay ShrinkLocker. Ang variant ng ransomware na ito ay nagtatatag ng bagong partition ng boot upang i-encrypt ang mga corporate system na gumagamit ng Windows BitLocker.

Talaan ng mga Nilalaman

Threat Actor Lock Data sa pamamagitan ng Pag-abuso sa Lehitimong Feature ng Windows

Ang mga pagkakataon ng ransomware na gumagamit ng BitLocker upang i-encrypt ang mga computer ay hindi karaniwan. Sa isang kaso, ginamit ng isang threat actor ang feature na panseguridad na ito sa loob ng Windows para i-encrypt ang 100TB ng data sa 40 server sa isang ospital sa Belgium. Katulad nito, ginamit ng isa pang attacker ang BitLocker para i-encrypt ang mga system na kabilang sa isang producer at distributor ng karne na nakabase sa Moscow. Naglabas ang Microsoft ng babala noong Setyembre 2022, na nagsiwalat na ang isang Iranian state-sponsored attacker ay gumamit ng BitLocker upang i-encrypt ang mga system na tumatakbo sa Windows 10, Windows 11, o Windows Server 2016 at mas bago.

Gayunpaman, sa pagsisiyasat sa ShrinkLocker, ang mga eksperto ay nag-iingat na ang banta na ito ay nagpapakita ng dati nang hindi nasabi na mga tampok na naglalayong palakasin ang lawak ng epekto ng pag-atake.

Ang ShrinkLocker ay Isinasagawa Lamang Kapag Natugunan ang Ilang Mga Detalye

ShrinkLocker, na naka-code sa Visual Basic Scripting (VBScript), isang wikang ipinakilala ng Microsoft noong 1996 at ngayon ay papalabas na. Kabilang sa mga pag-andar nito, ipinapakita ng banta ang kakayahang tukuyin ang partikular na bersyon ng Windows na tumatakbo sa target na makina sa pamamagitan ng paggamit ng Windows Management Instrumentation (WMI) sa klase ng Win32_OperatingSystem.

Ang pag-atake ay nagpapatuloy lamang sa ilalim ng mga partikular na kundisyon, tulad ng kasalukuyang domain na tumutugma sa target at ang bersyon ng operating system (OS) na mas bago kaysa sa Vista. Kung hindi, ang ShrinkLocker ay awtomatikong nagtatapos at nagde-delete sa sarili. Kapag natugunan ng target ang pamantayan ng pag-atake, ginagamit ng malware ang disk part utility sa Windows upang paliitin ang bawat non-boot partition ng 100MB, na hinahati ang hindi nakalaang espasyo sa mga bagong pangunahing volume ng magkakaparehong laki.

Pansinin ng mga mananaliksik na sa Windows 2008 at 2012, ang ShrinkLocker Ransomware ay unang nagpapanatili ng mga boot file kasama ang index ng iba pang mga volume. Ang mga katulad na pagpapalit ng laki ay isinasagawa sa iba pang mga bersyon ng Windows OS, kahit na may iba't ibang mga segment ng code, tulad ng nakabalangkas sa teknikal na pagsusuri ng mga mananaliksik. Kasunod nito, ginagamit ng malware ang BCDEdit command-line tool upang muling i-install ang mga boot file sa mga bagong nabuong partisyon.

Ang ShrinkLocker Ransomware ay Nagre-render ng Data sa Buong Drive Partition na Hindi Nagagamit

Binabago din ng ShrinkLocker ang mga registry entries upang hindi paganahin ang mga remote na koneksyon sa desktop o paganahin ang pag-encrypt ng BitLocker sa mga host na walang Trusted Platform Module (TPM). Ang nakalaang chip na ito ay nagbibigay ng hardware-based, mga function na nauugnay sa seguridad.

Ang banta ng aktor sa likod ng ShrinkLocker ay hindi nag-drop ng isang ransom file upang magtatag ng isang channel ng komunikasyon sa biktima. Sa halip, nagbibigay sila ng email address sa pakikipag-ugnayan (onboardingbinder@proton.me, conspiracyid9@protonmail.com) bilang label ng mga bagong boot partition. Gayunpaman, ang label na ito ay hindi makikita ng mga admin maliban kung i-boot nila ang device gamit ang isang recovery environment o sa pamamagitan ng iba pang diagnostic tool, na ginagawa itong medyo madaling makaligtaan.

Pagkatapos i-encrypt ang mga drive, tatanggalin ng threat actor ang mga protektor ng BitLocker (hal., TPM, PIN, startup key, password, recovery password, recovery key) upang tanggihan ang biktima ng anumang opsyon na mabawi ang encryption key ng BitLocker, na ipinadala sa attacker.

Ang susi na nabuo para sa pag-encrypt ng mga file ay isang 64-character na kumbinasyon ng random na pagpaparami at pagpapalit ng isang variable na may 0-9 na mga numero, mga espesyal na character, at ang holoalphabetic na pangungusap na 'The quick brown fox jumps over the lazy dog.' Ang susi ay inihahatid sa pamamagitan ng TryCloudflare tool, isang lehitimong serbisyo para sa mga developer na mag-eksperimento sa CloudFlare's Tunnel nang hindi nagdaragdag ng site sa CloudFlare's DNS.

Sa huling yugto ng pag-atake, pinipilit ng ShrinkLocker na isara ang system para magkabisa ang lahat ng pagbabago at iwanan ang user na naka-lock ang mga drive at walang mga opsyon sa pagbawi ng BitLocker.

Ang ShrinkLocker Threat Actor ay maaaring hindi Pinansyal

Nag-aalok ang BitLocker ng opsyon na gumawa ng personalized na mensahe sa mga recovery screen, na nagbibigay ng perpektong platform para sa pagpapakita ng mensahe ng pangingikil sa mga biktima. Ang kawalan ng isang kitang-kitang ipinapakitang ransom note at isang email na itinalaga lamang bilang isang drive label ay maaaring magmungkahi na ang mga pag-atake na ito ay nilayon na maging mas mapanira sa kalikasan sa halip na hinihimok ng mga motibong pinansyal.

Natuklasan ng mga mananaliksik na nagpapakita ang ShrinkLocker sa maraming variant at na-deploy ito laban sa isang entity ng gobyerno, gayundin sa mga organisasyon sa loob ng sektor ng paggawa ng bakal at bakuna sa Mexico, Indonesia, at Jordan.

Ang mga kumpanyang gumagamit ng BitLocker sa kanilang mga system ay mahigpit na pinapayuhan na tiyakin ang secure na storage ng mga recovery key at panatilihin ang mga regular na offline na backup na pana-panahong sinusuri. Higit pa rito, hinihimok ang mga organisasyon na mag-deploy ng isang maayos na na-configure na Endpoint Protection Platform (EPP) na solusyon upang makita ang mga pagtatangka sa pag-abuso sa BitLocker, ipatupad ang kaunting mga pribilehiyo ng user, paganahin ang komprehensibong pag-log at pagsubaybay sa trapiko sa network (kabilang ang parehong mga kahilingan sa GET at POST), subaybayan ang mga kaganapan na nauugnay sa VBS at PowerShell execution, at mag-log ng mga nauugnay na script.