Pakar keamanan siber dari Kaspersky telah mengidentifikasi jenis ransomware baru bernama ShrinkLocker yang menggunakan Microsoft BitLocker untuk mengenkripsi file perusahaan dan memeras pembayaran dari organisasi korban. Malware ini telah terdeteksi di Meksiko, Indonesia, dan Yordania, memengaruhi produsen baja dan vaksin serta entitas pemerintah.
Mekanisme dan Deteksi Teknis
ShrinkLocker bekerja VBScript berinteraksi dengan Instrumentasi Manajemen Windows, menyesuaikan serangannya untuk berbagai versi sistem operasi Microsoft, termasuk Windows Server 2008. Malware melakukan pengubahan ukuran disk pada drive tetap, memodifikasi partisi dan pengaturan boot, mengaktifkan BitLocker, dan mengenkripsi penyimpanan komputer. Laporan Kaspersky menjelaskan langkah-langkah mendetail untuk mendeteksi dan memblokir varian ShrinkLocker.
Serangan Proses dan Dampak
Setelah mendapatkan eksekusi kode pada mesin korban, ShrinkLocker diterapkan. Ini mengubah label partisi ke email pemeras, memfasilitasi kontak korban. Kunci dekripsi dikirim ke server yang dikendalikan oleh penyerang, setelah itu ShrinkLocker menghapus kunci tersebut secara lokal, menghapus opsi pemulihan dan log sistem. Sistem yang disusupi kemudian dimatikan, menampilkan layar BitLocker yang menyatakan, “Tidak ada lagi opsi pemulihan BitLocker di PC Anda”.
Metodologi Serangan Terperinci
ShrinkLocker memanfaatkan fungsi yang diekspor dari kriptografi DLL ADVAPI32.dll , seperti CryptAcquireContextA, CryptEncrypt, dan CryptDecrypt, untuk memastikan kompatibilitas di berbagai versi OS. Malware menyimpan VBScript-nya di C:\ProgramData\Microsoft\Windows\Templates\ sebagai Disk.vbs, yang mencakup fungsi untuk mengonversi string ke biner menggunakan Objek ADODB.Stream. Skrip memeriksa nama sistem operasi untuk “xp,” “2000,” “2003,” atau “vista” dan berhenti jika ada yang terdeteksi.
Skrip melakukan operasi pengubahan ukuran disk khususnya pada drive tetap (DriveType=3) dan menghindari drive jaringan untuk mencegah deteksi. Untuk Windows Server 2008 atau 2012, skrip menggunakan diskpart untuk memperkecil partisi non-boot sebesar 100 MB, membuat partisi primer baru, memformatnya, dan menginstal ulang file boot. Malware ini memodifikasi entri registri untuk menonaktifkan koneksi RDP, menerapkan autentikasi kartu pintar, dan mengonfigurasi setelan BitLocker tanpa chip TPM yang kompatibel.
Enkripsi dan Komunikasi
ShrinkLocker menghasilkan kunci enkripsi 64 karakter menggunakan kombinasi acak angka, huruf, dan karakter khusus, yang kemudian diubah menjadi string aman untuk BitLocker. Malware mengirimkan permintaan HTTP POST yang berisi informasi mesin dan sandi yang dihasilkan ke server penyerang, menggunakan domain trycloudflare.com untuk kebingungan. Skrip ini menghapus log Windows PowerShell dan Microsoft-Windows-PowerShell/Operasional, mengaktifkan firewall sistem, dan menghapus semua aturan firewall.
Tindakan Pencegahan
Kaspersky menyarankan organisasi untuk membatasi hak pengguna untuk mencegah pengaktifan fitur enkripsi atau modifikasi kunci registri. Bagi mereka yang menggunakan BitLocker, sangat penting untuk menggunakan kata sandi yang kuat dan menyimpan kunci pemulihan dengan aman. Memantau kejadian eksekusi VBScript dan PowerShell, mencatat aktivitas sistem penting ke repositori eksternal, dan sering mencadangkan sistem dan file secara offline juga disarankan. Menguji cadangan memastikan cadangan dapat dipulihkan jika terjadi serangan ransomware atau insiden keamanan lainnya.