Η εταιρεία κυβερνοασφάλειας Bitdefender κυκλοφόρησε ένα δωρεάν εργαλείο αποκρυπτογράφησης για το ransomware ShrinkLocker, ώστε να βοηθήσει τα θύματα να ανακτήσουν τα δεδομένα τους χωρίς να πληρώσουν λύτρα στους hackers.
Οι ερευνητές ανέλυσαν τις εσωτερικές λειτουργίες του ShrinkLocker και κατάφεραν να δημιουργήσουν το εργαλείο αποκρυπτογράφησης.
Το ShrinkLocker τεκμηριώθηκε για πρώτη φορά τον Μάιο του 2024 από την Kaspersky. Η εταιρεία παρατήρησε τότε ότι το ransomware χρησιμοποιούσε το BitLocker της Microsoft για την κρυπτογράφηση αρχείων σε επιθέσεις εναντίον του Μεξικού, της Ινδονησίας και της Ιορδανίας.
Η Bitdefender, η οποία διερεύνησε μια ransomware επίθεση του ShrinkLocker σε εταιρεία υγειονομικής περίθαλψης στη Μέση Ανατολή, είπε ότι η επίθεση πιθανότατα προήλθε από ένα μηχάνημα που ανήκε σε εργολάβο. Αυτό δείχνει για άλλη μια φορά πώς οι κυβερνοεγκληματίες καταχρώνται τις σχέσεις εμπιστοσύνης για να διεισδύσουν στην εφοδιαστική αλυσίδα.
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
Δείτε επίσης: Halliburton: Απώλειες $ 35 εκατ. μετά από επίθεση ransomware
Στο επόμενο στάδιο, οι επιτιθέμενοι μετακινήθηκαν σε έναν Active Directory domain controller, κάνοντας χρήση των νόμιμων credentials για έναν παραβιασμένο λογαριασμό. Στη συνέχεια, δημιουργήθηκαν δύο scheduled tasks για την ενεργοποίηση της διαδικασίας ransomware.
Σύμφωνα με την Bitdefender, το ransomware ShrinkLocker κρυπτογραφούσε επιτυχώς συστήματα με Windows 10, Windows 11, Windows Server 2016 και Windows Server 2019.
Ο τρόπος λειτουργίας του ransomware είναι απλός αλλά αποτελεσματικός. Το κακόβουλο λογισμικό είναι γραμμένο σε VBScript και αντί να εφαρμόσει τον δικό του αλγόριθμο κρυπτογράφησης, αξιοποιεί το BitLocker για να πετύχει τους στόχους του.
Το script έχει σχεδιαστεί για να συλλέγει πληροφορίες σχετικά με τη διαμόρφωση του συστήματος και το λειτουργικό σύστημα. Επιχειρεί να ελέγξει εάν το BitLocker είναι ήδη εγκατεστημένο σε υπολογιστή Windows Server και, εάν όχι, το εγκαθιστά χρησιμοποιώντας μια εντολή PowerShell. Στη συνέχεια, εκτελεί μια “αναγκαστική επανεκκίνηση“, χρησιμοποιώντας το Win32Shutdown.
Ωστόσο, οι ερευνητές της Bitdefender εντόπισαν ένα σφάλμα που προκαλεί την αποτυχία αυτού του αιτήματος με ένα error “Privilege Not Held“.
Δείτε επίσης: Το νέο Ymir ransomware συνεργάζεται με το RustyStealer σε επιθέσεις
“Ακόμη και αν ο διακομιστής επανεκκινηθεί με μη αυτόματο τρόπο (π.χ. από έναν ανυποψίαστο διαχειριστή), το script δεν διαθέτει μηχανισμό για να συνεχίσει την εκτέλεσή του μετά την επανεκκίνηση, πράγμα που σημαίνει ότι η επίθεση μπορεί να διακοπεί ή να αποτραπεί“, είπε ο Martin Zugec, διευθυντής τεχνικών λύσεων στην Bitdefender.
Το ShrinkLocker ransomware έχει σχεδιαστεί για να δημιουργεί έναν τυχαίο κωδικό πρόσβασης, που προέρχεται από συγκεκριμένες πληροφορίες για το σύστημα, όπως το network traffic, η μνήμη συστήματος και η χρήση δίσκου, και τον χρησιμοποιεί για την κρυπτογράφηση των μονάδων δίσκου του συστήματος.
Ο μοναδικός κωδικός πρόσβασης μεταφορτώνεται σε διακομιστή που ελέγχεται από τον εισβολέα. Μετά την επανεκκίνηση, ο χρήστης καλείται να εισαγάγει τον κωδικό πρόσβασης για να ξεκλειδώσει την κρυπτογραφημένη μονάδα δίσκου. Η οθόνη BitLocker έχει επίσης ρυθμιστεί ώστε να εμφανίζει τη διεύθυνση email επικοινωνίας του παράγοντα απειλής, για την έναρξη της πληρωμής με αντάλλαγμα τον κωδικό πρόσβασης.
Επιπλέον, το script κάνει πολλές τροποποιήσεις μητρώου για να περιορίσει την πρόσβαση στο σύστημα και απενεργοποιεί τις απομακρυσμένες συνδέσεις RDP και τις τοπικές συνδέσεις. Επίσης, απενεργοποιεί Windows Firewall rules και διαγράφει τα audit files.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Δείτε επίσης: Frag ransomware: Χρησιμοποιεί ευπάθεια Veeam σε επιθέσεις
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: thehackernews.com