Phần mềm tống tiền ShrinkLocker

Nhiều nhà khai thác ransomware đang đặt câu hỏi về sự cần thiết của việc tích hợp cơ chế khóa mật mã vào các mối đe dọa phần mềm độc hại của họ, do có sẵn phần mềm mã hóa mạnh mẽ của Microsoft trong Windows. Một ví dụ đáng chú ý được các chuyên gia an ninh mạng nhấn mạnh là ShrinkLocker. Biến thể ransomware này thiết lập một phân vùng khởi động mới để mã hóa các hệ thống của công ty bằng cách sử dụng Windows BitLocker.

Kẻ đe dọa khóa dữ liệu bằng cách lạm dụng tính năng Windows hợp pháp

Các trường hợp ransomware sử dụng BitLocker để mã hóa máy tính không phải là hiếm. Trong một trường hợp, kẻ tấn công đã lợi dụng tính năng bảo mật này trong Windows để mã hóa 100TB dữ liệu trên 40 máy chủ tại một bệnh viện ở Bỉ. Tương tự, một kẻ tấn công khác đã sử dụng BitLocker để mã hóa các hệ thống thuộc về một nhà sản xuất và phân phối thịt có trụ sở tại Moscow. Microsoft đã đưa ra cảnh báo vào tháng 9 năm 2022, tiết lộ rằng kẻ tấn công do nhà nước Iran bảo trợ đã sử dụng BitLocker để mã hóa các hệ thống chạy Windows 10, Windows 11 hoặc Windows Server 2016 trở lên.

Tuy nhiên, khi xem xét kỹ lưỡng ShrinkLocker, các chuyên gia cảnh báo rằng mối đe dọa này có những đặc điểm chưa được tiết lộ trước đây nhằm khuếch đại mức độ ảnh hưởng của cuộc tấn công.

ShrinkLocker chỉ được thực thi khi đáp ứng một số thông số kỹ thuật nhất định

ShrinkLocker, được mã hóa bằng Visual Basic Scripting (VBScript), một ngôn ngữ được Microsoft giới thiệu từ năm 1996 và hiện đang bị loại bỏ. Trong số các chức năng của nó, mối đe dọa này thể hiện khả năng xác định phiên bản Windows cụ thể đang chạy trên máy mục tiêu bằng cách sử dụng Công cụ quản lý Windows (WMI) với lớp Win32_OperatingSystem.

Cuộc tấn công chỉ tiến hành trong các điều kiện cụ thể, chẳng hạn như tên miền hiện tại phù hợp với mục tiêu và phiên bản hệ điều hành (OS) mới hơn Vista. Nếu không, ShrinkLocker sẽ tự động kết thúc và tự xóa. Khi mục tiêu đáp ứng các tiêu chí của cuộc tấn công, phần mềm độc hại sẽ sử dụng tiện ích phần đĩa trong Windows để thu nhỏ mọi phân vùng không khởi động xuống 100MB, chia không gian chưa phân bổ thành các ổ đĩa chính mới có kích thước giống hệt nhau.

Các nhà nghiên cứu lưu ý rằng trong Windows 2008 và 2012, ShrinkLocker Ransomware ban đầu bảo tồn các tệp khởi động cùng với chỉ mục của các ổ đĩa khác. Các hoạt động thay đổi kích thước tương tự được thực hiện trên các phiên bản hệ điều hành Windows khác, mặc dù có các đoạn mã khác nhau, như được nêu trong phân tích kỹ thuật của các nhà nghiên cứu. Sau đó, phần mềm độc hại sử dụng công cụ dòng lệnh BCDEdit để cài đặt lại các tệp khởi động trên các phân vùng mới được tạo.

Phần mềm tống tiền ShrinkLocker hiển thị dữ liệu trên toàn bộ phân vùng ổ đĩa không thể sử dụng được

ShrinkLocker cũng sửa đổi các mục đăng ký để vô hiệu hóa các kết nối máy tính từ xa hoặc bật mã hóa BitLocker trên các máy chủ không có Mô-đun nền tảng đáng tin cậy (TPM). Con chip chuyên dụng này cung cấp các chức năng liên quan đến bảo mật, dựa trên phần cứng.

Kẻ đe dọa đằng sau ShrinkLocker không gửi tệp đòi tiền chuộc để thiết lập kênh liên lạc với nạn nhân. Thay vào đó, họ cung cấp địa chỉ email liên hệ (onboardingbinder@proton.me, âm mưuid9@protonmail.com) làm nhãn của các phân vùng khởi động mới. Tuy nhiên, quản trị viên sẽ không nhìn thấy nhãn này trừ khi họ khởi động thiết bị bằng môi trường khôi phục hoặc thông qua các công cụ chẩn đoán khác, khiến nhãn này khá dễ bị bỏ sót.

Sau khi mã hóa ổ đĩa, kẻ đe dọa sẽ xóa các trình bảo vệ BitLocker (ví dụ: TPM, mã PIN, khóa khởi động, mật khẩu, mật khẩu khôi phục, khóa khôi phục) để từ chối nạn nhân bất kỳ tùy chọn nào nhằm khôi phục khóa mã hóa của BitLocker, khóa này được gửi cho kẻ tấn công.

Khóa được tạo để mã hóa tệp là sự kết hợp gồm 64 ký tự của phép nhân ngẫu nhiên và thay thế một biến bằng các số 0-9, các ký tự đặc biệt và câu bảng chữ cái 'Con cáo nâu nhanh chóng nhảy qua con chó lười'. Khóa được phân phối thông qua công cụ TryCloudflare, một dịch vụ hợp pháp để các nhà phát triển thử nghiệm Đường hầm của CloudFlare mà không cần thêm trang web vào DNS của CloudFlare.

Trong giai đoạn cuối của cuộc tấn công, ShrinkLocker buộc hệ thống phải tắt để tất cả các thay đổi có hiệu lực và khiến người dùng bị khóa ổ đĩa và không có tùy chọn khôi phục BitLocker.

Những kẻ gây ra mối đe dọa ShrinkLocker có thể không được thúc đẩy về mặt tài chính

BitLocker cung cấp tùy chọn tạo thông báo được cá nhân hóa trên màn hình khôi phục, cung cấp nền tảng lý tưởng để hiển thị thông báo tống tiền cho nạn nhân. Việc không có thông báo đòi tiền chuộc được hiển thị nổi bật và một email chỉ được chỉ định làm nhãn ổ đĩa có thể cho thấy rằng các cuộc tấn công này có mục đích mang tính chất phá hoại hơn là do động cơ tài chính.

Các nhà nghiên cứu đã phát hiện ra rằng ShrinkLocker biểu hiện dưới nhiều biến thể và đã được triển khai để chống lại một cơ quan chính phủ cũng như các tổ chức trong lĩnh vực sản xuất thép và vắc xin ở Mexico, Indonesia và Jordan.

Các công ty sử dụng BitLocker trên hệ thống của họ nên đảm bảo lưu trữ an toàn các khóa khôi phục và duy trì các bản sao lưu ngoại tuyến thường xuyên được kiểm tra định kỳ. Hơn nữa, các tổ chức được khuyến khích triển khai giải pháp Nền tảng bảo vệ điểm cuối (EPP) được định cấu hình đúng cách để phát hiện các nỗ lực lạm dụng BitLocker, thực thi các đặc quyền tối thiểu của người dùng, cho phép ghi nhật ký và giám sát toàn diện lưu lượng mạng (bao gồm cả yêu cầu GET và POST), theo dõi các sự kiện liên quan đến Thực thi VBS và PowerShell cũng như ghi nhật ký các tập lệnh thích hợp.

Phần mềm tống tiền ShrinkLocker Video

Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .