Програма-вимагач ShrinkLocker
Численні оператори програм-вимагачів сумніваються в необхідності інтеграції механізму криптоблокування у свої загрози зловмисного програмного забезпечення, враховуючи наявність у Windows надійного програмного забезпечення шифрування Microsoft. Експерти з кібербезпеки відзначили один із відомих прикладів ShrinkLocker. Цей варіант програми-вимагача створює новий завантажувальний розділ для шифрування корпоративних систем за допомогою Windows BitLocker.
Зміст
Зловмисники блокують дані, зловживаючи законною функцією Windows
Випадки програм-вимагачів, які використовують BitLocker для шифрування комп’ютерів, нерідкі. В одному випадку зловмисник використав цю функцію безпеки в Windows для шифрування 100 ТБ даних на 40 серверах у лікарні в Бельгії. Подібним чином інший зловмисник використовував BitLocker для шифрування систем, що належать московському виробнику та дистриб’ютору м’яса. У вересні 2022 року корпорація Майкрософт випустила попередження, в якому виявилося, що спонсорований державою іранський зловмисник використовував BitLocker для шифрування систем під керуванням Windows 10, Windows 11 або Windows Server 2016 і новіших версій.
Однак, уважно дослідивши ShrinkLocker, експерти попереджають, що ця загроза демонструє раніше нерозголошені функції, спрямовані на посилення ступеня впливу атаки.
ShrinkLocker виконується лише за умови виконання певних специфікацій
ShrinkLocker, закодований на Visual Basic Scripting (VBScript), мові, представленій корпорацією Майкрософт ще в 1996 році, і зараз вона виходить. Серед своїх функціональних можливостей загроза демонструє здатність ідентифікувати конкретну версію Windows, запущену на цільовій машині, використовуючи Windows Management Instrumentation (WMI) з класом Win32_OperatingSystem.
Атака відбувається лише за певних умов, наприклад, якщо поточний домен відповідає цільовому домену та версія операційної системи (ОС), яка є новішою за Vista. В іншому випадку ShrinkLocker завершує роботу автоматично та самостійно видаляється. Коли ціль відповідає критеріям атаки, зловмисне програмне забезпечення використовує утиліту дискової частини в Windows, щоб зменшити кожен незавантажувальний розділ на 100 МБ, розділивши нерозподілений простір на нові первинні томи однакового розміру.
Дослідники відзначають, що в Windows 2008 і 2012 програма-вимагач ShrinkLocker спочатку зберігає завантажувальні файли разом з індексом інших томів. Подібні операції зміни розміру проводяться в інших версіях ОС Windows, хоча й з іншими сегментами коду, як зазначено в технічному аналізі дослідників. Згодом зловмисне програмне забезпечення використовує інструмент командного рядка BCDEdit, щоб перевстановити завантажувальні файли на щойно згенерованих розділах.
Програма-вимагач ShrinkLocker робить непридатними дані на всіх розділах диска
ShrinkLocker також змінює записи реєстру, щоб вимкнути підключення до віддаленого робочого столу або ввімкнути шифрування BitLocker на хостах без Trusted Platform Module (TPM). Цей спеціальний чіп забезпечує апаратні функції, пов’язані з безпекою.
Зловмисник, що стоїть за ShrinkLocker, не скидає файл викупу, щоб встановити канал зв’язку з жертвою. Натомість вони надають контактну електронну адресу (onboardingbinder@proton.me, conspiracyid9@protonmail.com) як мітку нових завантажувальних розділів. Однак цю мітку не побачать адміністратори, якщо вони не завантажать пристрій за допомогою середовища відновлення або за допомогою інших інструментів діагностики, тому її досить легко пропустити.
Після шифрування дисків зловмисник видаляє засоби захисту BitLocker (наприклад, TPM, PIN-код, ключ запуску, пароль, пароль відновлення, ключ відновлення), щоб відмовити жертві в будь-якій можливості відновити ключ шифрування BitLocker, який надсилається зловмиснику.
Ключ, згенерований для шифрування файлів, — це 64-символьна комбінація випадкового множення та заміни змінної на числа 0–9, спеціальні символи та голоалфавітне речення «Швидка бура лисиця перестрибує ледачого пса». Ключ надається через інструмент TryCloudflare, законну службу для розробників, яка дозволяє експериментувати з CloudFlare Tunnel без додавання сайту до DNS CloudFlare.
На завершальній стадії атаки ShrinkLocker змушує систему вимкнутись, щоб усі зміни вступили в силу, залишаючи користувача із заблокованими дисками та без можливостей відновлення BitLocker.
Зловмисники ShrinkLocker можуть не керуватися фінансами
BitLocker пропонує можливість створювати персоналізоване повідомлення на екранах відновлення, забезпечуючи ідеальну платформу для відображення повідомлення про вимагання жертвам. Відсутність повідомлення про викуп на помітному місці та електронного листа, позначеного лише як мітка накопичувача, може свідчити про те, що ці атаки мають більш руйнівний характер, а не фінансові мотиви.
Дослідники виявили, що ShrinkLocker має кілька варіантів і використовується проти урядової організації, а також організацій у металургійному секторі та виробництві вакцин у Мексиці, Індонезії та Йорданії.
Компаніям, які використовують BitLocker у своїх системах, наполегливо рекомендується забезпечити безпечне зберігання ключів відновлення та підтримувати регулярне автономне резервне копіювання, яке періодично перевіряється. Крім того, організаціям рекомендується розгорнути належним чином налаштовану платформу захисту кінцевих точок (EPP) для виявлення спроб зловживання BitLocker, застосування мінімальних привілеїв користувачів, увімкнення комплексного журналювання та моніторингу мережевого трафіку (включаючи запити GET і POST), відстеження подій, пов’язаних з Виконання VBS і PowerShell, а також журнал відповідних сценаріїв.
Програма-вимагач ShrinkLocker Відео
Порада. Увімкніть звук і дивіться відео в повноекранному режимі .
