ShrinkLocker 勒索軟體
鑑於 Windows 中 Microsoft 強大的加密軟體的可用性,許多勒索軟體營運商質疑將加密鎖定機制整合到其惡意軟體威脅中的必要性。網路安全專家強調的一個值得注意的例子是 ShrinkLocker。此勒索軟體變種利用 Windows BitLocker 建立一個新的啟動分割區來加密公司係統。
目錄
威脅行為者透過濫用合法的 Windows 功能來鎖定數據
使用 BitLocker 加密電腦的勒索軟體實例並不罕見。在一個案例中,威脅行為者利用 Windows 中的這項安全功能對比利時一家醫院的 40 台伺服器上的 100TB 資料進行加密。同樣,另一名攻擊者利用 BitLocker 對莫斯科一家肉類生產商和分銷商的系統進行加密。微軟於 2022 年 9 月發出警告,透露伊朗國家支持的攻擊者利用 BitLocker 加密運行 Windows 10、Windows 11 或 Windows Server 2016 及更高版本的系統。
然而,在仔細研究 ShrinkLocker 後,專家警告說,這種威脅表現出以前未公開的特徵,旨在擴大攻擊的影響範圍。
僅當滿足某些規範時才執行 ShrinkLocker
ShrinkLocker 採用 Visual Basic Scienceting (VBScript) 編碼,這是 Microsoft 早在 1996 年就推出的語言,現在即將退出市場。在其功能中,該威脅展示了透過利用 Windows Management Instrumentation (WMI) 和 Win32_OperatingSystem 類別來識別目標電腦上執行的特定 Windows 版本的能力。
攻擊僅在特定條件下進行,例如當前網域與目標匹配以及作業系統 (OS) 版本高於 Vista。否則,ShrinkLocker 將自動結束並進行自刪除。當目標符合攻擊標準時,惡意軟體會利用 Windows 中的磁碟部分公用程式將每個非啟動分割區縮小 100MB,將未指派的空間分割為相同大小的新主磁碟區。
研究人員指出,在 Windows 2008 和 2012 中,ShrinkLocker Ransomware 最初會保留啟動檔案以及其他磁碟區的索引。正如研究人員的技術分析中所述,儘管使用不同的程式碼片段,但在其他 Windows 作業系統版本上也執行了類似的調整大小操作。隨後,惡意軟體使用 BCDEdit 命令列工具在新產生的分割區上重新安裝啟動檔案。
ShrinkLocker 勒索軟體導致整個磁碟機分割區上的資料無法使用
ShrinkLocker 也會修改登錄機碼以停用遠端桌面連線或在沒有受信任平台模組 (TPM) 的主機上啟用 BitLocker 加密。此專用晶片提供基於硬體的安全相關功能。
ShrinkLocker 背後的威脅行為者不會釋放勒索檔案來與受害者建立通訊通道。相反,他們提供了一個聯絡電子郵件地址(onboardingbinder@proton.me、conspiracyid9@protonmail.com)作為新啟動分區的標籤。但是,除非管理員使用恢復環境或透過其他診斷工具啟動設備,否則管理員不會看到此標籤,因此很容易錯過。
對磁碟機進行加密後,威脅行為者會刪除BitLocker 保護程式(例如,TPM、PIN、啟動金鑰、密碼、復原密碼、復原金鑰),以拒絕受害者恢復傳送給攻擊者的BitLocker 加密金鑰的任何選項。
為加密檔案產生的密鑰是隨機乘法和 0-9 數字、特殊字元和全字母句子「The Quick Brown Fox Jumps Over the Lazy Dog」變數取代的 64 個字元組合。金鑰是透過 TryCloudflare 工具提供的,這是一項合法服務,開發人員可以在不向 CloudFlare 的 DNS 新增網站的情況下試驗 CloudFlare 的隧道。
在攻擊的最後階段,ShrinkLocker 會強制系統關閉以使所有變更生效,並使使用者的磁碟機處於鎖定狀態,且沒有 BitLocker 復原選項。
ShrinkLocker 威脅參與者可能不是出於經濟目的
BitLocker 提供了在恢復畫面上製作個人化訊息的選項,為向受害者顯示勒索訊息提供了理想的平台。沒有顯著顯示的勒索字條和僅指定為驅動器標籤的電子郵件可能表明這些攻擊本質上更具破壞性,而不是出於經濟動機。
研究人員發現,ShrinkLocker 存在多種變體,並已針對政府實體以及墨西哥、印尼和約旦的鋼鐵和疫苗製造業內的組織進行部署。
強烈建議在其係統上使用 BitLocker 的公司確保恢復金鑰的安全儲存並維護定期測試的定期離線備份。此外,也敦促組織部署正確配置的端點保護平台(EPP) 解決方案,以檢測BitLocker 濫用的嘗試、強制執行最低用戶權限、啟用全面的日誌記錄和網路流量監控(包括GET 和POST 請求)、追蹤與BitLocker 相關的事件。
ShrinkLocker 勒索軟體視頻
提示:把你的声音并观察在全屏模式下的视频。
