Ekspertët e sigurisë kibernetike nga Kaspersky kanë identifikuar një lloj të ri ransomware të quajtur ShrinkLocker që përdor Microsoft BitLocker për të koduar skedarët e korporatave dhe për të zhvatur pagesa nga organizatat viktima. Malware është zbuluar në Meksikë, Indonezi dhe Jordani, duke prekur prodhuesit e çelikut dhe vaksinave dhe një njësi qeveritare.
Mekanizmat Teknik dhe Zbulimi
ShrinkLocker punëson. VBScript për të bashkëvepruar me Windows Management Instrumentation, duke përshtatur sulmin e tij për versione të ndryshme të sistemeve operative Microsoft, duke përfshirë Windows Server 2008. Malware kryen ndryshimin e madhësisë së diskut në disqet fikse, modifikon ndarjen dhe konfigurimin e nisjes, aktivizon BitLocker dhe enkripton hapësirën ruajtëse të kompjuterit. Raporti i Kaspersky përvijon hapat e detajuar për zbulimin dhe bllokimin e varianteve të ShrinkLocker.
Sulmi. Procesi dhe ndikimi
Me marrjen e ekzekutimit të kodit në makinën e viktimës, ShrinkLocker vendoset. Ai ndryshon etiketat e ndarjeve në emailin e zhvatësve, duke lehtësuar kontaktin me viktimat. Çelësi i deshifrimit dërgohet në një server të kontrolluar nga sulmuesit, pas së cilës ShrinkLocker fshin çelësin lokalisht, duke fshirë opsionet e rikuperimit dhe regjistrat e sistemit. Sistemi i komprometuar më pas mbyllet, duke shfaqur një ekran BitLocker që thotë:”Nuk ka më opsione të rikuperimit të BitLocker në kompjuterin tuaj”.
Metodologjia e detajuar e sulmit
ShrinkLocker shfrytëzon funksionet e eksportuara nga kriptografia DLL ADVAPI32.dll , të tilla si CryptAcquireContextA, CryptEncrypt dhe CryptDecrypt, për të siguruar përputhshmëri në versione të ndryshme të OS. Malware ruan VBScript-in e tij në C:\ProgramData\Microsoft\Windows\Templates\ si Disk.vbs, i cili përfshin një funksion për të kthyer vargjet në binar duke përdorur një ADODB.Objekti i transmetimit. Skripti kontrollon emrin e sistemit operativ për”xp”,”2000″,”2003″ose”vista”dhe përfundon nëse zbulohet ndonjë nga këto.
Skripti kryen operacione të ndryshimit të madhësisë së diskut në mënyrë specifike në disqet fikse. (DriveType=3) dhe shmang disqet e rrjetit për të parandaluar zbulimin. Për Windows Server 2008 ose 2012, skripti përdor diskpart për të tkurrur ndarjet jo-boot me 100 MB, për të krijuar ndarje të reja primare, formatoni ato dhe riinstaloni skedarët e nisjes. Malware modifikon shënimet e regjistrit për të çaktivizuar lidhjet RDP, për të zbatuar vërtetimin e kartave inteligjente dhe për të konfiguruar cilësimet e BitLocker pa një çip TPM të pajtueshëm.
Enkriptimi dhe komunikimi
ShrinkLocker. gjeneron një çelës kriptimi me 64 karaktere duke përdorur një kombinim të rastësishëm numrash, shkronjash dhe karakteresh speciale, i cili më pas konvertohet në një varg të sigurt për BitLocker. Malware dërgon një kërkesë HTTP POST që përmban informacionin e makinës dhe fjalëkalimin e krijuar në serverin e sulmuesit, duke përdorur domenin trycloudflare.com për turbullim. Skripti fshin regjistrat e Windows PowerShell dhe Microsoft-Windows-PowerShell/Operational, aktivizon murin e zjarrit të sistemit dhe fshin të gjitha rregullat e murit të zjarrit.
Masat parandaluese
Kaspersky këshillon organizatat të kufizojnë privilegjet e përdoruesve për të parandaluar aktivizimin e veçorive të enkriptimit ose modifikimin e çelësave të regjistrit. Për ata që përdorin BitLocker, është thelbësore të përdorin fjalëkalime të forta dhe të ruajnë në mënyrë të sigurt çelësat e rikuperimit. Rekomandohet gjithashtu monitorimi i ngjarjeve të ekzekutimit të VBScript dhe PowerShell, regjistrimi i aktivitetit kritik të sistemit në një depo të jashtme dhe kopjimi i shpeshtë i sistemeve dhe skedarëve jashtë linje. Testimi i kopjeve rezervë siguron që ato të rikuperohen në rast të një sulmi ransomware ose incidentesh të tjera sigurie.
