Ένα νέο ransomware που ονομάζεται ShrinkLocker κάνει κατάχρηση του Windows BitLocker για την κρυπτογράφηση εταιρικών συστημάτων.
Μέχρι στιγμής, το ShrinkLocker έχει χρησιμοποιηθεί για να στοχεύσει μια κρατική οντότητα και εταιρείες στους τομείς των εμβολίων και των κατασκευών.
Το ransomware δημιουργεί νέα boot volumes
Η κατάχρηση του BitLocker από ransomware, για την κρυπτογράφηση υπολογιστών, δεν είναι κάτι καινούριο. Παλιότερα, μια ομάδα απειλών το είχε χρησιμοποιήσει για να κρυπτογραφήσει 100 TB δεδομένων σε 40 διακομιστές σε νοσοκομείο στο Βέλγιο. Ένας άλλος εισβολέας το χρησιμοποίησε για να κρυπτογραφήσει συστήματα ενός Ρώσου παραγωγού και διανομέα κρέατος.
Τον Σεπτέμβριο του 2022, η Microsoft προειδοποίησε ότι Ιρανοί hackers είχαν χρησιμοποιήσει το BitLocker για να κρυπτογραφήσουν συστήματα με Windows 10, Windows 11 ή Windows Server 2016 και νεότερα.
Δείτε επίσης: Επίθεση Ransomware σε Οφθαλμολογικό ιατρείο του Τέξας
Ωστόσο, η Kaspersky λέει ότι το νέο ShrinkLocker ransomware χρησιμοποιεί διαφορετικές μεθόδους.
Αρχικά, είναι γραμμένο σε Visual Basic Scripting (VBScript), μια γλώσσα που εισήγαγε η Microsoft το 1996 και βρίσκεται τώρα σε διαδικασία σταδιακής κατάργησης (θα προσφέρεται ως feature-on-demand, Windows 11, version 24H2). Μία από τις δυνατότητές του είναι η ανίχνευση της συγκεκριμένης έκδοσης των Windows, χρησιμοποιώντας Windows Management Instrumentation (WMI) με Win32_OperatingSystem class.
Αξίζει να σημειωθεί ότι η επίθεση συνεχίζεται μόνο εάν πληρούνται συγκεκριμένες παράμετροι (π.χ. domain στόχου και έκδοση λειτουργικού συστήματος (OS) που είναι νεότερη από τα Vista). Διαφορετικά, το ShrinkLocker ransomware σταματά αυτόματα οποιαδήποτε διαδικασία και διαγράφεται από το σύστημα.
Εάν ο στόχος ταιριάζει με τις απαιτήσεις για την επίθεση, το κακόβουλο λογισμικό χρησιμοποιεί το βοηθητικό πρόγραμμα diskpart στα Windows για να συρρικνώσει κάθε non-boot partition κατά 100 MB. Με αυτόν τον τρόπο, διαχωρίζει το unallocated space σε νέα κύρια volumes ίδιου μεγέθους.
Οι ερευνητές λένε ότι στα Windows 2008 και 2012, το ransomware ShrinkLocker αποθήκευσε πρώτα τα boot files μαζί με το index των άλλων volumes.
Οι ίδιες λειτουργίες αλλαγής μεγέθους εκτελούνται σε άλλες εκδόσεις λειτουργικού συστήματος Windows, αλλά με διαφορετικό κομμάτι κώδικα.
Στη συνέχεια, το κακόβουλο λογισμικό χρησιμοποιεί το εργαλείο γραμμής εντολών BCDEdit για να επανεγκαταστήσει τα boot files στα νέα partitions που έχουν δημιουργηθεί.
Δείτε επίσης: Τα Εθνικά Μητρώα της Σκωτίας παραβιάστηκαν σε επίθεση ransomware
Το ShrinkLocker ransomware κλειδώνει τους χρήστες έξω από τα συστήματά τους
Το ShrinkLocker τροποποιεί επίσης τις καταχωρίσεις μητρώου για να απενεργοποιήσει τα remote desktop connections ή να ενεργοποιήσει την κρυπτογράφηση BitLocker χωρίς Trusted Platform Module (TPM).
Οι επιτιθέμενοι πίσω από το ShrinkLocker δεν αφήνουν ένα σημείωμα λύτρων, όπως κάνουν τα περισσότερα ransomware. Απλά, παρέχουν μια διεύθυνση email επικοινωνίας (onboardingbinder[at]proton[dot]me, conspiracyid9[at]protonmail[dot]com) ως ετικέτα (label) στα νέα boot partitions.
Μετά την κρυπτογράφηση των μονάδων δίσκου, οι επιτιθέμενοι διαγράφουν τα προστατευτικά BitLocker (π.χ. TPM, PIN, κλειδί εκκίνησης, κωδικός πρόσβασης, κωδικός πρόσβασης ανάκτησης, κλειδί ανάκτησης) ώστε να μην μπορεί το θύμα να ανακτήσει το κλειδί κρυπτογράφησης του BitLocker, το οποίο αποστέλλεται στον εισβολέα.
Το κλειδί που δημιουργείται για την κρυπτογράφηση αρχείων είναι ένας συνδυασμός 64 χαρακτήρων, ειδικών χαρακτήρων και της πρότασης “The quick brown fox jumps over the lazy dog”.
Δείτε επίσης: Ransomware επιθέσεις εκμεταλλεύονται ευπάθειες VMware ESXi
Το κλειδί παραδίδεται μέσω του εργαλείου TryCloudflare.
Στο τελικό στάδιο της επίθεσης, το ShrinkLocker ransomware αναγκάζει το σύστημα να τερματιστεί για να τεθούν σε ισχύ όλες οι αλλαγές και να αφήσει τον χρήστη εκτός χωρίς επιλογές ανάκτησης BitLocker.
Η έλλειψη ενός ευδιάκριτου σημειώματος λύτρων και η εμφάνιση ενός email επικοινωνίας που απλώς αφήνεται ως ετικέτα, θα μπορούσε να υποδεικνύει ότι αυτές οι επιθέσεις δεν στοχεύουν τόσο στο οικονομικό όφελος όσο στην πρόκληση ζημιάς.
Η Kaspersky ανακάλυψε ότι το ShrinkLocker ransomware έχει πολλές παραλλαγές και έχει χρησιμοποιηθεί σε επιθέσεις που έχουν στοχεύσει οντότητες στο Μεξικό, την Ινδονησία και την Ιορδανία.
Προστασία
Με βάση τις τεχνικές αυτού του νέου ransomware, είναι σημαντικό να ληφθούν κάποια μέτρα προστασίας. Οι εταιρείες που χρησιμοποιούν BitLocker θα πρέπει να διασφαλίζουν την ασφαλή αποθήκευση των κλειδιών ανάκτησης και να διατηρούν τακτικά αντίγραφα ασφαλείας (που αποθηκεύονται σε ασφαλές μέρος offline).
Επιπλέον, συνιστάται η χρήση μιας σωστά διαμορφωμένης λύσης EPP (Endpoint Protection Platforms) για τον εντοπισμό προσπαθειών κατάχρησης BitLocker.
Όσον αφορά γενικές τεχνικές προστασίας από το ransomware, η εκπαίδευση των χρηστών είναι πολύ σημαντική. Οι χρήστες πρέπει να είναι ενημερωμένοι για τους τρόπους με τους οποίους το ransomware μπορεί να εισέλθει σε ένα σύστημα, όπως τα phishing emails. Θα πρέπει να είναι σε θέση να αναγνωρίσουν τέτοιες απειλές.
Δείτε επίσης: Η Jumbo Group έπεσε θύμα επίθεσης ransomware
Η χρήση αξιόπιστου λογισμικού antivirus είναι επίσης ζωτικής σημασίας. Το λογισμικό αυτό μπορεί να αναγνωρίσει και να απομακρύνει το ransomware πριν αυτό μπορέσει να προκαλέσει ζημιά.
Το τακτικό backup των δεδομένων είναι μια άλλη σημαντική τεχνική προστασίας. Σε περίπτωση που το σύστημα πέσει θύμα ransomware, η αποκατάσταση των δεδομένων από ένα backup μπορεί να είναι η μόνη λύση.
Η χρήση ενημερωμένων εκδόσεων λογισμικού και λειτουργικών συστημάτων είναι επίσης κρίσιμη. Οι επιτιθέμενοι συχνά εκμεταλλεύονται τις ευπάθειες των παλαιών εκδόσεων για να εγκαταστήσουν ransomware.
Τέλος, η χρήση εργαλείων προστασίας δικτύου, όπως τα firewalls και τα συστήματα ανίχνευσης εισβολών, μπορεί να βοηθήσει στην πρόληψη των επιθέσεων ransomware.
Πηγή: www.bleepingcomputer.com
