Cybersäkerhetsexperter från Kaspersky har identifierat en ny ransomware-stam vid namn ShrinkLocker som använder Microsoft BitLocker för att kryptera företagsfiler och pressa ut betalningar från offerorganisationer. Skadlig programvara har upptäckts i Mexiko, Indonesien och Jordanien, vilket påverkar stål-och vaccintillverkare och en statlig enhet.
Tekniska mekanismer och upptäckt
ShrinkLocker använder VBScript för att interagera med Windows Management Instrumentation, skräddarsy attacken för olika versioner av Microsofts operativsystem, inklusive Windows Server 2008. Skadlig programvara utför diskstorleksändring på fasta enheter, modifierar partitionering och startinställningar, aktiverar BitLocker och krypterar datorns lagring. Kasperskys rapport skisserar detaljerade steg för att upptäcka och blockera ShrinkLocker-varianter.
Attack Process och påverkan
När man får kodexekvering på ett offers dator, distribueras ShrinkLocker. Det ändrar partitionsetiketter till utpressarnas e-post, vilket underlättar kontakt med offer. Dekrypteringsnyckeln skickas till en server som kontrolleras av angriparna, varefter ShrinkLocker tar bort nyckeln lokalt och raderar återställningsalternativ och systemloggar. Det komprometterade systemet stängs sedan av och visar en BitLocker-skärm som säger:”Det finns inga fler BitLocker-återställningsalternativ på din PC”.
Detaljerad attackmetodik
ShrinkLocker utnyttjar exporterade funktioner från kryptografi-DLL ADVAPI32.dll , såsom CryptAcquireContextA, CryptEncrypt och CryptDecrypt, för att säkerställa kompatibilitet mellan olika OS-versioner. Skadlig programvara lagrar sitt VBScript på C:\ProgramData\Microsoft\Windows\Templates\ som Disk.vbs, vilket inkluderar en funktion för att konvertera strängar till binära filer med en ADODB.Stream-objekt. Skriptet kontrollerar operativsystemets namn för”xp”,”2000″,”2003″eller”vista”och avslutas om någon av dessa upptäcks.
Skriptet utför operationer för att ändra storlek på disken specifikt på fasta enheter (DriveType=3) och undviker nätverksenheter för att förhindra upptäckt. För Windows Server 2008 eller 2012 använder skriptet diskpart för att krympa icke-startpartitioner med 100 MB, skapa nya primära partitioner, formatera dem och installera om startfiler. Skadlig programvara ändrar registerposter för att inaktivera RDP-anslutningar, genomdriva smartkortsautentisering och konfigurera BitLocker-inställningar utan ett kompatibelt TPM-chip.
Kryptering och kommunikation
ShrinkLocker genererar en 64-teckens krypteringsnyckel med hjälp av en slumpmässig kombination av siffror, bokstäver och specialtecken, som sedan konverteras till en säker sträng för BitLocker. Skadlig programvara skickar en HTTP POST-begäran som innehåller maskininformation och det genererade lösenordet till angriparens server, med hjälp av domänen trycloudflare.com för förvirring. Skriptet rensar Windows PowerShell och Microsoft-Windows-PowerShell/operativa loggar, slår på systemets brandvägg och tar bort alla brandväggsregler.
Förebyggande åtgärder
Kaspersky råder organisationer att begränsa användarprivilegier för att förhindra aktivering av krypteringsfunktioner eller modifiering av registernycklar. För de som använder BitLocker är det avgörande att använda starka lösenord och säkert lagra återställningsnycklar. Övervakning av VBScript-och PowerShell-exekveringshändelser, loggning av kritisk systemaktivitet till ett externt arkiv och ofta säkerhetskopiering av system och filer offline rekommenderas också. Att testa säkerhetskopior säkerställer att de kan återställas i händelse av en ransomware-attack eller andra säkerhetsincidenter.
