ShrinkLocker Fidye Yazılımı
Çok sayıda fidye yazılımı operatörü, Microsoft'un Windows'taki güçlü şifreleme yazılımının varlığı göz önüne alındığında, kötü amaçlı yazılım tehditlerine bir kripto kilitleme mekanizması entegre etmenin gerekliliğini sorguluyor. Siber güvenlik uzmanlarının vurguladığı dikkate değer örneklerden biri ShrinkLocker'dır. Bu fidye yazılımı çeşidi, Windows BitLocker'ı kullanarak kurumsal sistemleri şifrelemek için yeni bir önyükleme bölümü oluşturur.
İçindekiler
Tehdit Aktörleri Meşru Windows Özelliğini Kötüye Kullanarak Verileri Kilitliyor
Bilgisayarları şifrelemek için BitLocker'ı kullanan fidye yazılımı örnekleri nadir değildir. Bir vakada, bir tehdit aktörü, Belçika'daki bir hastanedeki 40 sunucudaki 100 TB veriyi şifrelemek için Windows'un bu güvenlik özelliğinden yararlandı. Benzer şekilde başka bir saldırgan, Moskova merkezli bir et üreticisi ve distribütörüne ait sistemleri şifrelemek için BitLocker'ı kullandı. Microsoft, Eylül 2022'de İran devleti destekli bir saldırganın Windows 10, Windows 11 veya Windows Server 2016 ve daha yenisini çalıştıran sistemleri şifrelemek için BitLocker'ı kullandığını ortaya koyan bir uyarı yayınladı.
Ancak ShrinkLocker'ı inceleyen uzmanlar, bu tehdidin, saldırının etkisinin boyutunu artırmayı amaçlayan, daha önce açıklanmayan özellikler taşıdığı konusunda uyarıyor.
ShrinkLocker Yalnızca Belirli Özellikler Karşılandığında Yürütülür
ShrinkLocker, Microsoft tarafından 1996'da tanıtılan ve artık kullanımdan kalkmak üzere olan Visual Basic Scripting (VBScript) diliyle kodlanmıştır. Tehdit, işlevsellikleri arasında, Win32_OperatingSystem sınıfıyla birlikte Windows Yönetim Araçları'nı (WMI) kullanarak hedef makinede çalışan belirli Windows sürümünü tanımlama yeteneğini de gösteriyor.
Saldırı yalnızca hedefle eşleşen mevcut etki alanının ve işletim sistemi (OS) sürümünün Vista'dan daha yeni olması gibi belirli koşullar altında gerçekleşir. Aksi halde ShrinkLocker otomatik olarak sonlandırılır ve kendi kendini siler. Hedef, saldırı kriterlerini karşıladığında, kötü amaçlı yazılım, Windows'taki disk parçası yardımcı programını kullanarak, önyükleme yapılmayan her bölümü 100 MB kadar küçültüyor ve ayrılmamış alanı aynı boyutlardaki yeni birincil birimlere bölüyor.
Araştırmacılar, Windows 2008 ve 2012'de ShrinkLocker Ransomware'in başlangıçta önyükleme dosyalarını ve diğer birimlerin indeksini koruduğunu belirtiyor. Araştırmacıların teknik analizinde de belirtildiği gibi, farklı kod bölümleriyle de olsa benzer yeniden boyutlandırma işlemleri diğer Windows işletim sistemi sürümlerinde de yürütülüyor. Daha sonra kötü amaçlı yazılım, önyükleme dosyalarını yeni oluşturulan bölümlere yeniden yüklemek için BCDEdit komut satırı aracını kullanır.
ShrinkLocker Fidye Yazılımı, Tüm Sürücü Bölümlerindeki Verileri Kullanılamaz Hale Getiriyor
ShrinkLocker ayrıca uzak masaüstü bağlantılarını devre dışı bırakmak veya Güvenilir Platform Modülü (TPM) olmayan ana bilgisayarlarda BitLocker şifrelemesini etkinleştirmek için kayıt defteri girişlerini de değiştirir. Bu özel çip, donanım tabanlı, güvenlikle ilgili işlevler sağlar.
ShrinkLocker'ın arkasındaki tehdit aktörü, kurbanla iletişim kanalı kurmak için fidye dosyası bırakmıyor. Bunun yerine, yeni önyükleme bölümlerinin etiketi olarak bir iletişim e-posta adresi (onboardingbinder@proton.me, conspiracyid9@protonmail.com) sağlarlar. Ancak bu etiket, cihazı bir kurtarma ortamı kullanarak veya diğer tanılama araçlarını kullanarak başlatmadıkları sürece yöneticiler tarafından görülmez; bu da gözden kaçırılmayı oldukça kolaylaştırır.
Sürücüleri şifreledikten sonra tehdit aktörü, kurbanın saldırgana gönderilen BitLocker şifreleme anahtarını kurtarma seçeneğini reddetmek için BitLocker koruyucularını (örneğin, TPM, PIN, başlangıç anahtarı, parola, kurtarma parolası, kurtarma anahtarı) siler.
Dosyaları şifrelemek için oluşturulan anahtar, rastgele çarpma ve bir değişkenin 0-9 arası sayılar, özel karakterler ve holoalfabetik cümle ile değiştirilmesinden oluşan 64 karakterlik bir kombinasyondur: 'Hızlı kahverengi tilki tembel köpeğin üzerinden atlar.' Anahtar, geliştiricilerin CloudFlare'in DNS'sine bir site eklemeden CloudFlare Tüneli'ni denemeleri için meşru bir hizmet olan TryCloudflare aracı aracılığıyla teslim edilir.
Saldırının son aşamasında ShrinkLocker, tüm değişikliklerin etkili olması için sistemi kapanmaya zorlar ve kullanıcıyı sürücüler kilitli ve BitLocker kurtarma seçeneği olmadan bırakır.
ShrinkLocker Tehdit Aktörleri Mali Amaçlı Olamayabilir
BitLocker, kurtarma ekranlarında kişiselleştirilmiş bir mesaj oluşturma seçeneği sunarak mağdurlara şantaj mesajı görüntülemek için ideal bir platform sağlar. Göze çarpan bir fidye notunun ve yalnızca sürücü etiketi olarak belirtilen bir e-postanın bulunmaması, bu saldırıların finansal amaçlardan ziyade doğası gereği daha yıkıcı olma niyetinde olduğunu düşündürebilir.
Araştırmacılar, ShrinkLocker'ın çeşitli şekillerde ortaya çıktığını ve Meksika, Endonezya ve Ürdün'deki çelik ve aşı imalat sektörlerindeki kuruluşların yanı sıra bir devlet kurumuna karşı kullanıldığını ortaya çıkardı.
Sistemlerinde BitLocker kullanan şirketlerin, kurtarma anahtarlarının güvenli bir şekilde saklanmasını sağlamaları ve periyodik olarak test edilen düzenli çevrimdışı yedeklemeler sağlamaları şiddetle tavsiye edilir. Ayrıca kuruluşların, BitLocker'ı kötüye kullanma girişimlerini tespit etmek, minimum kullanıcı ayrıcalıklarını uygulamak, ağ trafiğinin (hem GET hem de POST istekleri dahil) kapsamlı günlüğe kaydedilmesini ve izlenmesini sağlamak, VBS ve PowerShell yürütme ve ilgili komut dosyalarını günlüğe kaydetme.
ShrinkLocker Fidye Yazılımı Video
İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .
