ShrinkLocker ransomware zloupotrebljava BitLocker

ShrinkLocker, novi soj ransomware zlonamjernog softvera, otkrio je Kaspersky Global Emergency Response Team. Ovaj zlonamjerni softver zloupotrebljava Microsoft BitLocker u svrhe šifrovanja i iznude protiv korporativnih sistema u različitim industrijama kao što su proizvodnja čelika, proizvodnja vakcina, pa čak i državnih subjekata.

ShrinkLocker

ShrinkLocker ransomware zloupotrebljava BitLocker; Source: Bing Image Creator

SHRINKLOCKER RANSOMWARE

ShrinkLocker je zlonamjerni softver nazvan po svojoj sposobnosti da kreira novu particiju za pokretanje smanjivanjem dostupnih particija koje se ne čitaju prilikom pokretanja sistema. Namijenjen je za napad na Windows operativne sisteme i napisan prvenstveno na Visual Basic Scripting – VBScript jeziku, koji je kompanija Microsoft predstavila 1996. godine. Iako se VBScript prestaje koristiti od Windows 11, verzija 24H2, ShrinkLocker nastavlja da predstavlja značajnu prijetnju zbog svojih jedinstvenih karakteristika i naprednih mogućnosti.

Jedan od najintrigantnijih aspekata ShrinkLocker zlonamjernog softvera je njegova sposobnost da otkrije specifičnu verziju operativnog sistema Windows koja radi na ciljnoj mašini koristeći Windows Management Instrumentation (WMI) sa klasom Win32_OperatingSystem. Napad se nastavlja samo ako su ispunjeni određeni uslovi, kao što je trenutni domen koji odgovara nameravanom cilju i verzija operativnog sistema (OS) koja je novija od Vista operativnog sistema. Ako ovi zahtevi nisu ispunjeni, ShrinkLocker zlonamjerni softver se automatski prekida.

 

“Za svaki objekat u okviru rezultata upita, skripta provjerava da li se trenutni domen razlikuje od cilja.  Ako da, skripta se automatski završava. Nakon toga, provjerava da li ime operativnog sistema sadrži xp, 2000, 2003 ili vista, a ako se verzija Windows podudara sa bilo kojim od ovih, skripta se automatski završava i briše se.”

– Securelist blog by Kaspersky –

 

Ako cilj ispunjava preduslove za napad, ShrinkLocker zlonamjerni softver koristi razne tehnike da izvrši svoje zlonamjerne aktivnosti. Na primjer, u starijim verzijama operativnog sistema Windows, kao što su 2008 i 2012, ShrinkLocker prvo čuva datoteke za pokretanje zajedno sa indeksom drugih logičkih diskova prije nego što izvrši operacije promjene veličine pomoću uslužnog programa diskpart. Isti postupci promjene veličine se izvršavaju na drugim verzijama operativnog sistema, ali sa različitim dijelovima kôda.

 

Tehnike, taktike i procedure

Sigurnosni istraživači su procijenili zlonamjerne aktere koji stoje iza ShrinkLocker zlonamjernog softvera kao visoko kvalifikovane pojedince sa dubokim razumijevanjem VBScript jezika, Windows funkcionisanja i raznih uslužnih programa, ali nisu u mogućnosti izvršiti jasnu identifikaciju. Dalja analiza je otkrila nekoliko različitih taktika, tehnika i procedura koje koristi ova porodica ransomware da izbjegne otkrivanje i izvrši svoje zlonamjerne aktivnosti:

  1. ShrinkLocker koristi PowerShell skripte za nekoliko zadataka kao što su eksfiltracija podataka, eskalacija privilegija i postojanost nakon šifrovanja,
  2. Ransomware koristi WMI upite za prikupljanje informacija o sistemu i identifikaciju ciljne verzije operativnog sistema,
  3. ShrinkLocker koristi koristi uslužni program diskpart za promjenu veličine particija, kreiranje novih primarnih logičkih diskova i dodjeljivanje nedodijeljenog prostora,
  4. Ransomware vrši izmjene različitih ključeva u sistemskim registrima da bi obezbijedio postojanost tokom ponovnog pokretanja i onemogućio funkcije kao što su RDP i zaštitni zidovi (eng. firewalls),
  5. ShrinkLockere prikuplja osjetljive informacije iz ciljnog sistema pre nego što ih šifruje da bi ih koristio kao polugu tokom pregovora sa žrtvama,
  6. Ransomware šifruje različite tipove datoteka, uključujući dokumente, slike, video zapise i baze podataka, čineći oporavak podataka izazovnim zadatkom za žrtve,
  7. ShrinkLockere koristi više mehanizama postojanosti kako bi osigurao da ostane aktivan na ciljanim sistemima čak i nakon ponovnog pokretanja ili ažuriranja sistema,
  8. Ransomware briše različite sistemske datoteke i ključeve registra kako bi efikasno prikrio tragove, što otežava forenzičku analizu sigurnosnim istraživačima.

 

“Naš odgovor na incidente i analiza zlonamjernog softvera dokaz su da napadači stalno usavršavaju svoje taktike kako bi izbjegli otkrivanje. U ovom incidentu primijetili smo zloupotrebu izvorne funkcije BitLocker za neovlašteno šifrovanje podataka.”

– Securelist blog by Kaspersky –

 

Funkcionisanje

Napad počinje kada se ShrinkLockere infiltrira u ciljani sistem. Kada uđe, on planira da onemogući zaštitu dizajniranu da obezbijedi BitLocker ključ za šifrovanje. Primarna motivacija iza ove akcije je sprečavanje korisnika da koristi ključne funkcije oporavka i da povrati kontrolu nad svojim podacima. Da bi postigao ovaj cilj, ShrinkLockere koristi metodički pristup kojim na kraju onemogućava zaštitne mjere i briše ih, obezbeđujući da se ne mogu vratiti ili ponovo aktivirati. Umjesto podrazumijevanih zaštitnih funkcija, omogućava korištenje numeričke lozinke za BitLocker obezbjeđivanje i za šifrovanje sistemskih podataka.

Proces šifrovanja uključuje generisanje ključa za šifrovanje od 64 znaka korištenjem slučajnog množenja i zamjene različitih elemenata. Ove komponente uključuju:

  • Promjenljiva sa brojevima u rasponu od 0 do 9,
  • Čuveni pangram, “The quick brown fox jumps over the lazy dog”, u obliku malih i velikih slova, koji sadrži svako slovo engleske abecede,
  • Specijalne znakove.

 

Nakon nekoliko složenih koraka, ShrinkLockere šifruje podatke na zaraženom sistemu koristeći ovaj prilagođeni generisani ključ. Proces šifrovanja čini podatke nečitljivim i nedostupnim bez ključa za dešifrovanje. Dešifrovanje disk jedinica bez ovog ključa je izazovan zadatak, ako ne i nemoguć u mnogim slučajevima. Iako je teoretski moguće oporaviti neke od pristupnih fraza i fiksnih vrijednosti koje se koriste za generisanje ovih ključeva, ShrinkLockere koristi promjenljive vrijednosti koje su različite na svakom zaraženom uređaju, čineći napore oporavka znatno složenijim.

Da bi dodatno zakomplikovao stvari sigurnosnim istraživačima koji pokušavaju da istraže ili ublaže napad, ShrinkLockere takođe uklanja različite alate dizajnirane da zaštite BitLocker ključa za šifrovanje. Ova radnja sprečava korisnike da obnove ove zaštitne mjere i povrate kontrolu nad svojim sistemima. Kada su svi podaci šifrovani, ShrinkLockere šalje sistemske informacije i generisani ključ za šifrovanje svom serveru za komandu i kontrolu (C&C). Zlonamjerni softver zatim nastavlja da “prikriva svoje tragove” brisanjem evidencije i raznih datoteka koje bi potencijalno mogle da pomognu u istrazi napada ili praćenju njegovog porekla.

U posljednjoj fazi, ShrinkLockere nasilno blokira pristup sistemu, prikazujući poruku na ekranu: “There are no BitLocker recovery options on your computer”. Ova poruka je dizajnirana da zastraši i obeshrabri žrtve da pokušaju da povrate svoje podatke bez plaćanja otkupnine koju traže napadači.

Zanimljivo je da ShrinkLockere ne ostavlja tradicionalnu bilješku o otkupnini. Umjesto toga, pruža kontakt elektronske pošte – onboardingbinder[at]proton[dot]me, conspiracyid9[at]protonmail[dot]com – kao oznake na novim particijama za pokretanje. Ove informacije se lako mogu propustiti osim ako se sistem ne pokrene u okruženju za oporavak.

 

ZAKLJUČAK

ShrinkLockere je destruktivni ransomware koji koristi Microsoft BitLocker za šifrovanje, ciljajući korporativne sisteme bez jasne poruke o iznudi ili bilješke o otkupnini. Prvenstveno se koristio protiv državnih subjekata i kompanija u sektoru vakcina i proizvodnje. Ono što posebno izdvaja ShrinkLockere ransomware od drugih sojeva uz zloupotrebu BitLocker šifrovanja je i kreiranje nove particiju za pokretanje. Zbog toga je neophodno da organizacije budu svjesne ove prijetnje i preduzmu odgovarajuće mjere da zaštite svoje podatke i sisteme od takvih napada.

Organizacije moraju prioritetno da obezbijede svoje BitLocker ključeve za šifrovanje, redovno prave rezervne kopije podataka, primjenjuju robusna rješenja za otkrivanje prijetnji i reagovanje na incidente i budu informisane o novim prijetnjama kako bi se efikasno zaštitile od takvih napada. Preduzimajući ove korake, organizacije mogu da samjne rizik da postanu ransomware žrtve i da zaštite svoju vrijednu digitalnu imovinu.

Kompanija Microsoft nije imala ništa ohrabrujuće da kaže o ovome.

 

“Preporučujemo klijentima da slede najbolje bezbjednosne prakse – da se postaraju da su sve dostupne ispravke instalirane i da se radi sa ažuriranom zaštitom od prijetnji.“

–  Microsoft

 

ZAŠTITA

Da bi se zaštitile od ShrinkLockere ransomware zlonamjernog softvera, organizacije mogu da preduzmu nekoliko mjera:

  1. Implementirati pouzdano i pravilno konfigurisano bezbjednosno rješenje krajnje tačke koje može da otkrije i spriječi prijetnje koje pokušavaju da zloupotrebe BitLocker. Ovo uključuje detekciju zasnovanu na potpisima, analizu ponašanja i tehnike mašinskog učenja,
  2. Razmisliti o implementaciji softvera za upravljano otkrivanje i odgovor (eng. Managed Detection and Respons – MDR) kako bi se proaktivno skenirale potencijalne ShrinkLockere infekcije ili druge slične prijetnje. MDR rješenja mogu da obezbijede obavještajne podatke o prijetnjama u realnom vremenu i mogućnosti odgovora koje prevazilaze tradicionalni antivirusni softver,
  3. Osigurati da svi uređaji sa omogućenom BitLocker funkcionalnošću koriste jake, složene lozinke za zaštitu ključeva za šifrovanje. Lozinke treba da budu jedinstvene za svaki uređaj i uskladištene na bezbjednoj lokaciji, kao što je rezervna kopija van mreže ili pouzdana usluga u oblaku,
  4. Čuvati BitLocker ključeve za oporavak na bezbjednoj lokaciji kojoj neovlašteni korisnici ne mogu pristupiti. Ovo može uključivati korištenje usluga za čuvanje ključeva i kontrolu pristupa putem dozvola zasnovanih na ulozi,
  5. Sprovoditi stroge politike privilegija korisnika, osiguravajući da korisnici imaju samo minimalne privilegije neophodne za njihove zadatke. Ovo će spriječiti napadače da omoguće funkcije šifrovanja ili promjene ključeve registratora na zaraženim uređajima,
  6. Omogućiti evidentiranje mrežnog saobraćaja i nadgledajte GET i POST zahteve kako bi se rano otkrili potencijalne ShrinkLockere infekcije. Redovno analizirati evidencije, tražeći sumnjive aktivnosti vezane za BitLocker ili druge funkcionalnosti koji se odnose na šifrovanje,
  7. Osigurati da su svi sistemi, aplikacije i bezbjednosna rješenja ažurirani sa najnovijim ispravkama i ažuriranjima. Zastareli softver može ostaviti ranjivosti koje napadači mogu da iskoriste da bi dobili pristup mreži ili uređajima,
  8. Redovno praviti rezervne kopije važnih podataka kako bi bili zaštićeni od potencijalnog gubitka podataka usljed ransomware napada, obezbeđujući da se svi kritični podaci nalaze u rezervnoj kopiji i čuvaju van lokacije ili na zasebnom sistemu. U slučaju uspješnog napada, posjedovanje rezervnih kopija može pomoći da se minimizira vreme zastoja i gubitak podataka,
  9. Imati dobro definisan plan odgovora na sajber prijetnju, uključujući procedure za identifikaciju, obuzdavanje, iskorjenjivanje i oporavak od sajber napada i redovno testirati ovaj plan kroz simulacije ili vježbe,
  10. Biti informisan o najnovijim prijetnjama koje ciljaju na industriju organizacije ili zanimanje korisnika i pratiti izvore obavještajnih podataka o prijetnjama kako bi se rano mogle identifikovati potencijale napade. Ovo može uključivati praćenje mračnih internet foruma, skladišta zlonamjernog softvera i drugih izvora informacija o sajber kriminalu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.