Shrinklower adı verilen yeni bir fidye yazılımı suşu, Windows Bitlocker'ı kullanarak kurumsal sistemleri şifrelemek için yeni bir önyükleme bölümü oluşturur.
So adında, mevcut önyükleme dışı bölümleri daraltarak önyükleme hacmini oluşturduğu için, bir devlet kuruluşunu ve aşı ve imalat sektörlerindeki şirketleri hedeflemek için kullanılmıştır.
Bilgisayarları şifrelemek için Bitlocker kullanan fidye yazılımı yeni değil. Bir tehdit oyuncusu Windows'taki güvenlik özelliğini Belçika'daki bir hastanede 40 sunucuda 100 TB veri şifrelemek için kullandı. Başka bir saldırgan, Moskova merkezli bir et üreticisi ve distribütörünün sistemlerini şifrelemek için kullandı.
Eylül 2022'de Microsoft, İran devlet destekli bir saldırganın Windows 10, Windows 11 veya Windows Server 2016 ve daha yeni sistemleri çalıştıran sistemleri şifrelemek için BitLocker'ı kullandığı konusunda uyardı.
Ancak Kaspersky, Shrinklower'ın "saldırının hasarını en üst düzeye çıkarmak için daha önce bildirilmemiş özelliklerle" geldiğini söylüyor.
Shrinkrlocker, 1996 yılında tanıtılan bir dil Microsoft dil olan Visual Basic Scripting (VBScript) ile yazılmıştır ve şu anda Windows 11, sürüm 24H2 (şu anda sürüm önizleme aşamasında) isteğe bağlı bir özellik olarak kullanılabilir bir kullanımdan kaldırma yolunda.
Yeteneklerinden biri, Win32_operatingsystem sınıfı ile Windows Yönetimi Enstrümantasyonu (WMI) kullanarak hedef makinede çalışan belirli Windows sürümünü algılamaktır.
Saldırı yalnızca hedefle eşleşen geçerli alan ve Vista'dan daha yeni bir işletim sistemi (OS) sürümü gibi spesifik parametreler karşılandığında devam eder. Aksi takdirde, Shrinkrlocker otomatik olarak bitirir ve kendini siler.
Hedef saldırı için gereksinimlerle eşleşiyorsa, kötü amaçlı yazılım, 100 MB ile her bir boot olmayan bölümü küçültmek için Windows'taki DiskPart yardımcı programını kullanır ve ayrılmamış alanı aynı boyuttaki yeni birincil hacimlere böler.
Kaspersky araştırmacıları, Windows 2008 ve 2012'de Shrinklower fidye yazılımının önyükleme dosyalarını diğer ciltlerin diziniyle birlikte kaydettiğini söylüyor.
Aynı yeniden boyutlandırma işlemleri diğer Windows OS sürümlerinde gerçekleştirilir, ancak farklı bir kod parçasıyla, araştırmacılar teknik analizlerinde açıklar.
Kötü amaçlı yazılım, yeni oluşturulan bölümlerde önyükleme dosyalarını yeniden yüklemek için BCDDEIT komut satırı aracını kullanır.
Shrinkrlower ayrıca, donanım tabanlı, güvenlik ile ilgili işlevler sağlayan özel bir çip olan güvenilir bir platform modülü (TPM) olmadan ana bilgisayarlarda uzak masaüstü bağlantılarını devre dışı bırakmak veya Bitlocker şifrelemesini etkinleştirmek için kayıt defteri girişlerini değiştirir.
Dinamik kötü amaçlı yazılım analizi sayesinde Kaspersky araştırmacıları, aşağıdaki kayıt defteri değişikliklerini yapan kötü amaçlı yazılımları onaylayabildiler:
Shrinklocker'ın arkasındaki tehdit oyuncusu kurbanla bir iletişim kanalı oluşturmak için bir fidye dosyası bırakmıyor. Bunun yerine, yeni önyükleme bölümlerinin etiketi olarak bir iletişim e -posta adresi (onboardingBinder [at] proton [dot] me, conspiracyId9 [at] protonmail [dot] com) sağlarlar.
Bununla birlikte, bu etiket, bir kurtarma ortamı veya diğer teşhis araçları aracılığıyla cihazı önyüklemedikçe yöneticiler tarafından görülmez, bu da kaçırmayı oldukça kolay hale getirir.
Sürücüleri şifreledikten sonra, tehdit oyuncusu Bitlocker koruyucularını (örn. TPM, PIN, Başlangıç Anahtarı, Parola, Kurtarma Parolası, Kurtarma Şebekesi) Saldırıcıya gönderilen Bitlocker'ın şifreleme anahtarını kurtarma seçeneğini reddetmek için siler.
Dosyaları şifrelemek için oluşturulan anahtar, rastgele çarpma ve bir değişkenin 0-9 sayıları, özel karakterler ve holoalfabetik cümle ile değiştirilmesinin 64 karakterlik bir kombinasyonudur "Hızlı kahverengi tilki tembel köpeğin üzerine atlar."
Anahtar, geliştiricilerin Cloudflare'nin DNS'sine bir site eklemeden Cloudflare'nin tünelini denemeleri için meşru bir hizmet olan TryCloudFlare Tool aracılığıyla teslim edilir.
Saldırının son aşamasında, Shrinkrlocker, tüm değişikliklerin yürürlüğe girmesi ve kullanıcıyı kilitli ve Bitlocker kurtarma seçenekleri olmayan kullanıcıyı bırakması için kapatmaya zorlar.
Bitlocker, Kurbanlara gasp mesajı görüntülemek için mükemmel bir yer olan kurtarma ekranlarında özel bir mesaj oluşturmanıza olanak tanır.
Kolayca görülen bir fidye notu ve sadece bir sürücü etiketi olarak bırakılan bir e -posta, bu saldırıların finansal kazançtan ziyade doğada yıkıcı olduğunu gösterebilir.
Kaspersky, Shrinklocker'ın birden fazla varyantı olduğunu ve bir devlet kuruluşuna ve Meksika, Endonezya ve Ürdün'deki çelik ve aşı imalat endüstrilerindeki kuruluşlara karşı kullanıldığını keşfetti.
Kaspersky Global Acil Durum Müdahale Ekibinde bir olay müdahale uzmanı olan Cristian Souza, sistemlerinde Bitlocker kullanan şirketlerin kurtarma anahtarlarının güvenli bir şekilde depolanmasını sağlamaları ve çevrimdışı ve test edilen düzenli yedeklemeleri korumaları gerektiğini söylüyor.
Buna ek olarak, kuruluşların Bitlocker istismarı denemelerini tespit etmek, kullanıcılar için minimum ayrıcalıkları etkinleştirmek, ağ trafiği için giriş ve izlemeyi (hem GET ve Post talepleri) izlemek için düzgün yapılandırılmış bir EPP (uç nokta koruma platformları) çözümü kullanmaları önerilir. PowerShell yürütme ve günlükle ilişkili komut dosyaları.
Microsoft, hatalı yanlış Bitlocker şifreleme hatalarının arkasındaki hatayı düzeltiyor
Microsoft: Windows 24H2 Cortana ve Wordpad uygulamalarını kaldıracak
LastPass artık daha iyi güvenlik için parola tonozlarında URL'leri şifreliyor
Microsoft, 2024'ün ikinci yarısında VBScript'i öldürmeye başlayacak
Microsoft Edge güncellemesi bugün Internet Explorer 11'i devre dışı bırakmaya başladı
Kaynak: Bleeping Computer