Az új ShrinkLocker ransomware a BitLockert használja a fájlok titkosításához

A ShrinkLocker nevű új ransomware, új rendszerindító partíciót hoz létre a vállalati rendszerek titkosításához a Windows BitLocker használata során. Ezzel az új zsarolóvírussal a vakcina termelési szektort és a kormányzati szerveket veszik célba.

A ShrinkLocker Visual Basic Scripting (VBScript) nyelven íródott és képes a célgépen futó Windows-verzió megállapítására a Windows Management Instrumentation (WMI) és a Win32_OperatingSystem segítségével. A támadás csak akkor folytatódik, ha az aktuális tartomány megfelelő és a támadott eszköz Vista-nál újabb verziójú operációs rendszerrel rendelkezik. Ellenkező esetben a ShrinkLocker futtatása automatikusan befejeződik és törlődik. Amennyiben a célpont megfelel a támadás követelményeinek, a rosszindulatú program a Windows diskpart futtatásával 100 MB-tal csökkenti az összes nem rendszerindító partíciót, és a fel nem osztott területet ugyanolyan méretű új elsődleges kötetekre osztja fel.

ShrinkLocker 100MB partíciók forrás: Kaspersky

 

A rosszindulatú program ezután a BCDEdit-tel újratelepíti a rendszerindító fájlokat az újonnan létrehozott partíciókra.

A ShrinkLocker újratelepíti a rendszerindító fájlokat az új partíciókra forrás: Kaspersky

 

A ShrinkLocker módosítja a rendszerleíró bejegyzéseket is, ezáltal letiltja a távoli asztali kapcsolatokat, vagy engedélyezi a BitLocker titkosítást a Trusted Platform Module (TPM) nélküli gazdagépeken. Kaspersky kutatói dinamikus malware elemzéssel megerősítették, hogy a rosszindulatú program a következő rendszerleíró adatbázis-módosításokat hajtotta végre:

  • fDenyTSConnections = 1: RDP-kapcsolatok letiltása
  • SCReForceOption = 1: Intelligens kártyás hitelesítés kényszerítése
  • UseAdvancedStartup = 1: BitLocker PIN-kód használata szükséges a rendszerindítás előtti hitelesítéshez
  • EnableBDEWithNoTPM = 1: kompatibilis TPM nélküli BitLocker engedélyezése
  • UseTPM = 2: lehetővé teszi a TPM használatát, ha elérhető
  • UseTPMPIN = 2: lehetővé teszi indítási PIN-kód használatát TPM-mel, ha rendelkezésre áll
  • UseTPMKey = 2: lehetővé teszi indítókulcs használatát TPM-mel, ha rendelkezésre áll
  • UseTPMKeyPIN = 2: lehetővé teszi indítókulcs és PIN-kód használatát TPM-mel, ha rendelkezésre áll
  • EnableNonTPM = 1: lehetővé teszi a BitLocker használatát kompatibilis TPM nélkül, jelszót vagy indítókulcsot igényel az USB flash meghajtón
  • UsePartialEncryptionKey = 2: indítókulcs használata szükséges a TPM modullal
  • UsePIN = 2: indítási PIN-kód használata szükséges a TPM-vel

A ShrinkLocker mögött álló támadó nem küld váltságdíj követelő fájlt, helyette egy kapcsolattartási e-mail címet ad meg az új rendszerindító partíciók címkéjeként. Azonban ezt a címkét a rendszergazdák csak akkor fogják látni, ha helyreállítási környezetben vagy más diagnosztikai eszközön keresztül indítják el az eszközüket, így meglehetősen könnyű elsiklani felette.

A rendszerindító kötethez használt ShrinkLocker e-mail-kapcsolat neve forrás: Kaspersky

 

A támadás utolsó szakaszában a meghajtók titkosítása után a támadó törli a BitLocker titkosítási kulcshoz használt védelmi eszközöket (TPM, PIN-kód, indítókulcs, jelszó, helyreállítási jelszó, helyreállítási kulcs) azért, hogy ne lehessen azt helyreállítani.

A ShrinkLocker nem hagy helyreállítási lehetőséget a BitLocker titkosítás után forrás:Kaspersky

 

Ennél a ransomwarenél a támadások nem haszonszerzés céljából jöttek létre hanem, hogy minél nagyobb károkat okozzanak a támadás során. Kaspersky szerint a BitLockert használó vállalatoknak gondoskodniuk kell a helyreállítási kulcsok biztonságos tárolásáról és rendszeresen biztonsági másolatok készítéséről és offline mentésükről. Emellett a vállalatoknak ajánlott megfelelően konfigurált EPP (Endpoint Protection Platforms) használata a BitLockerrel való visszaélési kísérletek észleléséhez, minimális jogosultságok engedélyezéséhez a felhasználók számára, a hálózati forgalom naplózásának és figyelésének engedélyezéséhez (mind a GET-, mind a POST-kérésekhez), a VBS- és PowerShell-végrehajtással kapcsolatos események nyomon követéséhez és a társított parancsfájlok naplózásához.

 

(bleepingcomputer.com)