{"id":6699,"date":"2024-05-31T19:13:44","date_gmt":"2024-05-31T17:13:44","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6699"},"modified":"2024-05-31T19:13:44","modified_gmt":"2024-05-31T17:13:44","slug":"shrinklocker-ransomware-zloupotrebljava-bitlocker","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/05\/31\/shrinklocker-ransomware-zloupotrebljava-bitlocker\/","title":{"rendered":"ShrinkLocker ransomware zloupotrebljava BitLocker"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>ShrinkLocker<\/em>, novi soj <em>ransomware<\/em> zlonamjernog softvera, <a href=\"https:\/\/securelist.com\/ransomware-abuses-bitlocker\/112643\/\" target=\"_blank\" rel=\"noopener\">otkrio je <em>Kaspersky Global Emergency Response Team<\/em><\/a>. Ovaj <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> zloupotrebljava <em>Microsoft<\/em> <em>BitLocker<\/em> u svrhe <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> i iznude protiv korporativnih sistema u razli\u010ditim industrijama kao \u0161to su proizvodnja \u010delika, proizvodnja vakcina, pa \u010dak i dr\u017eavnih subjekata.<\/span><\/p>\n<div id=\"attachment_6700\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6700\" class=\"size-full wp-image-6700\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware.jpg\" alt=\"ShrinkLocker\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/ShrinkLocker-ransomware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6700\" class=\"wp-caption-text\">ShrinkLocker ransomware zloupotrebljava BitLocker; Source: Bing Image Creator<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/31\/shrinklocker-ransomware-zloupotrebljava-bitlocker\/#SHRINKLOCKER_RANSOMWARE\">SHRINKLOCKER RANSOMWARE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/31\/shrinklocker-ransomware-zloupotrebljava-bitlocker\/#Tehnike_taktike_i_procedure\">Tehnike, taktike i procedure<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/31\/shrinklocker-ransomware-zloupotrebljava-bitlocker\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/31\/shrinklocker-ransomware-zloupotrebljava-bitlocker\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/31\/shrinklocker-ransomware-zloupotrebljava-bitlocker\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"SHRINKLOCKER_RANSOMWARE\"><\/span><strong><span style=\"font-size: 14pt;\"><em>SHRINKLOCKER<\/em> <em>RANSOMWARE<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>ShrinkLocker<\/em> je zlonamjerni softver nazvan po svojoj sposobnosti da kreira novu particiju za pokretanje smanjivanjem dostupnih particija koje se ne \u010ditaju prilikom pokretanja sistema. Namijenjen je za napad na <em>Windows<\/em> operativne sisteme i napisan prvenstveno na <em>Visual Basic Scripting &#8211; VBScript<\/em> jeziku, koji je kompanija <em>Microsoft<\/em> predstavila 1996. godine. Iako se <em>VBScript<\/em> prestaje koristiti od <em>Windows 11<\/em>, verzija <em>24H2<\/em>, <em>ShrinkLocker<\/em> nastavlja da predstavlja zna\u010dajnu prijetnju zbog svojih jedinstvenih karakteristika i naprednih mogu\u0107nosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan od najintrigantnijih aspekata <em>ShrinkLocker<\/em> zlonamjernog softvera je njegova sposobnost da otkrije specifi\u010dnu verziju operativnog sistema <em>Windows<\/em> koja radi na ciljnoj ma\u0161ini koriste\u0107i <em>Windows Management Instrumentation<\/em> (<em>WMI<\/em>) sa klasom <em>Win32_OperatingSystem<\/em>. Napad se nastavlja samo ako su ispunjeni odre\u0111eni uslovi, kao \u0161to je trenutni domen koji odgovara nameravanom cilju i verzija operativnog sistema (<em>OS<\/em>) koja je novija od <em>Vista<\/em> operativnog sistema. Ako ovi zahtevi nisu ispunjeni, <em>ShrinkLocker<\/em> zlonamjerni softver se automatski prekida.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cZa svaki objekat u okviru rezultata upita, skripta provjerava da li se trenutni domen razlikuje od cilja.\u00a0 Ako da, skripta se automatski zavr\u0161ava. Nakon toga, provjerava da li ime operativnog sistema sadr\u017ei xp, 2000, 2003 ili vista, a ako se verzija Windows podudara sa bilo kojim od ovih, skripta se automatski zavr\u0161ava i bri\u0161e se.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Securelist blog by Kaspersky &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Ako cilj ispunjava preduslove za napad, <em>ShrinkLocker<\/em> zlonamjerni softver koristi razne tehnike da izvr\u0161i svoje zlonamjerne aktivnosti. Na primjer, u starijim verzijama operativnog sistema <em>Windows<\/em>, kao \u0161to su <em>2008<\/em> i <em>2012<\/em>, <em>ShrinkLocker<\/em> prvo \u010duva datoteke za pokretanje zajedno sa indeksom drugih logi\u010dkih diskova prije nego \u0161to izvr\u0161i operacije promjene veli\u010dine pomo\u0107u uslu\u017enog programa <em>diskpart<\/em>. Isti postupci promjene veli\u010dine se izvr\u0161avaju na drugim verzijama operativnog sistema, ali sa razli\u010ditim dijelovima k\u00f4da.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Tehnike_taktike_i_procedure\"><\/span><strong><span style=\"font-size: 14pt;\">Tehnike, taktike i procedure<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su procijenili <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerne aktere<\/a> koji stoje iza <em>ShrinkLocker<\/em> zlonamjernog softvera kao visoko kvalifikovane pojedince sa dubokim razumijevanjem <em>VBScript<\/em> jezika, <em>Windows<\/em> funkcionisanja i raznih uslu\u017enih programa, ali nisu u mogu\u0107nosti izvr\u0161iti jasnu identifikaciju. Dalja analiza je otkrila nekoliko razli\u010ditih taktika, tehnika i procedura koje koristi ova porodica <em>ransomware<\/em> da izbjegne otkrivanje i izvr\u0161i svoje zlonamjerne aktivnosti:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\"><em>ShrinkLocker<\/em> koristi <em>PowerShell<\/em> skripte za nekoliko zadataka kao \u0161to su eksfiltracija podataka, eskalacija privilegija i postojanost nakon <a href=\"https:\/\/sajberinfo.com\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Ransomware<\/em> koristi <em>WMI <\/em>upite za prikupljanje informacija o sistemu i identifikaciju ciljne verzije operativnog sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>ShrinkLocker<\/em> koristi koristi uslu\u017eni program <em>diskpart<\/em> za promjenu veli\u010dine particija, kreiranje novih primarnih logi\u010dkih diskova i dodjeljivanje nedodijeljenog prostora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Ransomware<\/em> vr\u0161i izmjene razli\u010ditih klju\u010deva u sistemskim registrima da bi obezbijedio postojanost tokom ponovnog pokretanja i onemogu\u0107io funkcije kao \u0161to su <em>RDP<\/em> i za\u0161titni zidovi (eng. <em>firewalls<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>ShrinkLocker<\/em>e prikuplja osjetljive informacije iz ciljnog sistema pre nego \u0161to ih \u0161ifruje da bi ih koristio kao polugu tokom pregovora sa \u017ertvama,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Ransomware<\/em> \u0161ifruje razli\u010dite tipove datoteka, uklju\u010duju\u0107i dokumente, slike, video zapise i baze podataka, \u010dine\u0107i oporavak podataka izazovnim zadatkom za \u017ertve,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>ShrinkLocker<\/em>e koristi vi\u0161e mehanizama postojanosti kako bi osigurao da ostane aktivan na ciljanim sistemima \u010dak i nakon ponovnog pokretanja ili a\u017euriranja sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Ransomware<\/em> bri\u0161e razli\u010dite sistemske datoteke i klju\u010deve registra kako bi efikasno prikrio tragove, \u0161to ote\u017eava forenzi\u010dku analizu sigurnosnim istra\u017eiva\u010dima.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cNa\u0161 odgovor na incidente i analiza zlonamjernog softvera dokaz su da napada\u010di stalno usavr\u0161avaju svoje taktike kako bi izbjegli otkrivanje. U ovom incidentu primijetili smo zloupotrebu izvorne funkcije BitLocker za neovla\u0161teno \u0161ifrovanje podataka.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Securelist blog by Kaspersky &#8211; <\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionisanje<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Napad po\u010dinje kada se <em>ShrinkLocker<\/em>e infiltrira u ciljani sistem. Kada u\u0111e, on planira da onemogu\u0107i za\u0161titu dizajniranu da obezbijedi <em>BitLocker<\/em> klju\u010d za \u0161ifrovanje. Primarna motivacija iza ove akcije je spre\u010davanje korisnika da koristi klju\u010dne funkcije oporavka i da povrati kontrolu nad svojim podacima. Da bi postigao ovaj cilj, <em>ShrinkLocker<\/em>e koristi metodi\u010dki pristup kojim na kraju onemogu\u0107ava za\u0161titne mjere i bri\u0161e ih, obezbe\u0111uju\u0107i da se ne mogu vratiti ili ponovo aktivirati. Umjesto podrazumijevanih za\u0161titnih funkcija, omogu\u0107ava kori\u0161tenje numeri\u010dke lozinke za <em>BitLocker <\/em>obezbje\u0111ivanje i za \u0161ifrovanje sistemskih podataka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Proces \u0161ifrovanja uklju\u010duje generisanje <a href=\"https:\/\/sajberinfo.com\/2022\/04\/22\/enkripcija-podataka-upravljanje-kljucevima-i-nedostaci-enkripcije-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">klju\u010da za \u0161ifrovanje<\/a> od 64 znaka kori\u0161tenjem slu\u010dajnog mno\u017eenja i zamjene razli\u010ditih elemenata. Ove komponente uklju\u010duju:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Promjenljiva sa brojevima u rasponu od 0 do 9,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">\u010cuveni pangram, \u201c<em>The quick brown fox jumps over the lazy dog<\/em>\u201d, u obliku malih i velikih slova, koji sadr\u017ei svako slovo engleske abecede,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Specijalne znakove.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Nakon nekoliko slo\u017eenih koraka, <em>ShrinkLocker<\/em>e \u0161ifruje podatke na zara\u017eenom sistemu koriste\u0107i ovaj prilago\u0111eni generisani klju\u010d. Proces \u0161ifrovanja \u010dini podatke ne\u010ditljivim i nedostupnim bez klju\u010da za de\u0161ifrovanje. De\u0161ifrovanje disk jedinica bez ovog klju\u010da je izazovan zadatak, ako ne i nemogu\u0107 u mnogim slu\u010dajevima. Iako je teoretski moguc\u0301e oporaviti neke od pristupnih fraza i fiksnih vrijednosti koje se koriste za generisanje ovih klju\u010deva, <em>ShrinkLocker<\/em>e koristi promjenljive vrijednosti koje su razli\u010dite na svakom zara\u017eenom ure\u0111aju, \u010dine\u0107i napore oporavka znatno slo\u017eenijim.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Da bi dodatno zakomplikovao stvari <a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnim istra\u017eiva\u010dima<\/a> koji poku\u0161avaju da istra\u017ee ili ubla\u017ee napad, <em>ShrinkLocker<\/em>e tako\u0111e uklanja razli\u010dite alate dizajnirane da za\u0161tite <em>BitLocker<\/em> klju\u010da za \u0161ifrovanje. Ova radnja spre\u010dava korisnike da obnove ove za\u0161titne mjere i povrate kontrolu nad svojim sistemima. Kada su svi podaci \u0161ifrovani, <em>ShrinkLocker<\/em>e \u0161alje sistemske informacije i generisani klju\u010d za \u0161ifrovanje svom serveru za komandu i kontrolu (<em>C&amp;C<\/em>). Zlonamjerni softver zatim nastavlja da \u201c<em>prikriva svoje tragove<\/em>\u201d brisanjem evidencije i raznih datoteka koje bi potencijalno mogle da pomognu u istrazi napada ili pra\u0107enju njegovog porekla.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U posljednjoj fazi, <em>ShrinkLocker<\/em>e nasilno blokira pristup sistemu, prikazuju\u0107i poruku na ekranu: \u201c<em>There are no BitLocker recovery options on your computer<\/em>\u201d. Ova poruka je dizajnirana da zastra\u0161i i obeshrabri \u017ertve da poku\u0161aju da povrate svoje podatke bez plac\u0301anja otkupnine koju tra\u017ee napada\u010di.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zanimljivo je da <em>ShrinkLocker<\/em>e ne ostavlja tradicionalnu bilje\u0161ku o otkupnini. Umjesto toga, pru\u017ea kontakt elektronske po\u0161te \u2013 <em>onboardingbinder[at]proton[dot]me<\/em>, <em>conspiracyid9[at]protonmail[dot]com \u2013<\/em> kao oznake na novim particijama za pokretanje. Ove informacije se lako mogu propustiti osim ako se sistem ne pokrene u okru\u017eenju za oporavak.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>ShrinkLocker<\/em>e je destruktivni <em>ransomware<\/em> koji koristi <em>Microsoft BitLocker<\/em> za \u0161ifrovanje, ciljajuc\u0301i korporativne sisteme bez jasne poruke o iznudi ili bilje\u0161ke o otkupnini. Prvenstveno se koristio protiv dr\u017eavnih subjekata i kompanija u sektoru vakcina i proizvodnje. Ono \u0161to posebno izdvaja <em>ShrinkLocker<\/em>e <em>ransomware <\/em>od drugih sojeva uz zloupotrebu <em>BitLocker<\/em> \u0161ifrovanja je i kreiranje nove particiju za pokretanje. Zbog toga je neophodno da organizacije budu svjesne ove prijetnje i preduzmu odgovarajuc\u0301e mjere da za\u0161tite svoje podatke i sisteme od takvih napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Organizacije moraju prioritetno da obezbijede svoje <em>BitLocker<\/em> klju\u010deve za \u0161ifrovanje, redovno prave <a href=\"https:\/\/sajberinfo.com\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije podataka<\/a>, primjenjuju robusna rje\u0161enja za otkrivanje prijetnji i reagovanje na incidente i budu informisane o novim prijetnjama kako bi se efikasno za\u0161titile od takvih napada. Preduzimaju\u0107i ove korake, organizacije mogu da samjne rizik da postanu <em>ransomware <\/em>\u017ertve i da za\u0161tite svoju vrijednu digitalnu imovinu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kompanija Microsoft nije imala ni\u0161ta ohrabruju\u0107e da ka\u017ee o ovome.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cPreporu\u010dujemo klijentima da slede najbolje bezbjednosne prakse \u2013 da se postaraju da su sve dostupne ispravke instalirane i da se radi sa a\u017euriranom za\u0161titom od prijetnji.\u201c<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211;\u00a0 <\/em><a href=\"https:\/\/www.theregister.com\/2024\/05\/23\/ransomware_abuses_microsoft_bitlocker\/\" target=\"_blank\" rel=\"noopener\"><em>Microsoft<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se za\u0161titile od <em>ShrinkLocker<\/em>e <em>ransomware<\/em> zlonamjernog softvera, organizacije mogu da preduzmu nekoliko mjera:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Implementirati pouzdano i pravilno konfigurisano bezbjednosno rje\u0161enje krajnje ta\u010dke koje mo\u017ee da otkrije i sprije\u010di prijetnje koje poku\u0161avaju da zloupotrebe <em>BitLocker<\/em>. Ovo uklju\u010duje detekciju zasnovanu na potpisima, analizu pona\u0161anja i tehnike ma\u0161inskog u\u010denja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razmisliti o implementaciji softvera za upravljano otkrivanje i odgovor (eng. <em>Managed Detection and Respons \u2013 MDR<\/em>) kako bi se proaktivno skenirale potencijalne <em>ShrinkLocker<\/em>e infekcije ili druge sli\u010dne prijetnje. <em>MDR<\/em> rje\u0161enja mogu da obezbijede obavje\u0161tajne podatke o prijetnjama u realnom vremenu i mogu\u0107nosti odgovora koje prevazilaze tradicionalni <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Osigurati da svi ure\u0111aji sa omogu\u0107enom <em>BitLocker<\/em> funkcionalno\u0161\u0107u koriste jake, slo\u017eene <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> za za\u0161titu klju\u010deva za \u0161ifrovanje. Lozinke treba da budu jedinstvene za svaki ure\u0111aj i uskladi\u0161tene na bezbjednoj lokaciji, kao \u0161to je rezervna kopija van mre\u017ee ili pouzdana usluga u oblaku,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">\u010cuvati <em>BitLocker<\/em> klju\u010deve za oporavak na bezbjednoj lokaciji kojoj neovla\u0161teni korisnici ne mogu pristupiti. Ovo mo\u017ee uklju\u010divati kori\u0161tenje usluga za \u010duvanje klju\u010deva i kontrolu pristupa putem dozvola zasnovanih na ulozi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovoditi stroge politike privilegija korisnika, osiguravaju\u0107i da korisnici imaju samo minimalne privilegije neophodne za njihove zadatke. Ovo \u0107e sprije\u010diti napada\u010de da omogu\u0107e funkcije \u0161ifrovanja ili promjene klju\u010deve registratora na zara\u017eenim ure\u0111ajima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti evidentiranje mre\u017enog saobra\u0107aja i nadgledajte <em>GET<\/em> i <em>POST<\/em> zahteve kako bi se rano otkrili potencijalne <em>ShrinkLocker<\/em>e infekcije. Redovno analizirati evidencije, tra\u017ee\u0107i sumnjive aktivnosti vezane za <em>BitLocker<\/em> ili druge funkcionalnosti koji se odnose na \u0161ifrovanje,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Osigurati da su svi sistemi, aplikacije i bezbjednosna rje\u0161enja a\u017eurirani sa najnovijim ispravkama i a\u017euriranjima. Zastareli softver mo\u017ee ostaviti ranjivosti koje napada\u010di mogu da iskoriste da bi dobili pristup mre\u017ei ili ure\u0111ajima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti rezervne kopije va\u017enih podataka kako bi bili za\u0161ti\u0107eni od potencijalnog gubitka podataka usljed <em>ransomware<\/em> napada, obezbe\u0111uju\u0107i da se svi kriti\u010dni podaci nalaze u rezervnoj kopiji i \u010duvaju van lokacije ili na zasebnom sistemu. U slu\u010daju uspje\u0161nog napada, posjedovanje rezervnih kopija mo\u017ee pomo\u0107i da se minimizira vreme zastoja i gubitak podataka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Imati dobro definisan <a href=\"https:\/\/sajberinfo.com\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a>, uklju\u010duju\u0107i procedure za identifikaciju, obuzdavanje, iskorjenjivanje i oporavak od sajber napada i redovno testirati ovaj plan kroz simulacije ili vje\u017ebe,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti informisan o najnovijim prijetnjama koje ciljaju na industriju organizacije ili zanimanje korisnika i pratiti izvore obavje\u0161tajnih podataka o prijetnjama kako bi se rano mogle identifikovati potencijale napade. Ovo mo\u017ee uklju\u010divati pra\u0107enje mra\u010dnih internet foruma, skladi\u0161ta zlonamjernog softvera i drugih izvora informacija o sajber kriminalu.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>ShrinkLocker, novi soj ransomware zlonamjernog softvera, otkrio je Kaspersky Global Emergency Response Team. Ovaj zlonamjerni softver zloupotrebljava Microsoft BitLocker u svrhe \u0161ifrovanja i iznude protiv korporativnih sistema u razli\u010ditim industrijama kao \u0161to su proizvodnja&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6700,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1406,1411,1067,1413,1410,1416,1412,1418,1405,1417,1415,1409,1408,1407,1414],"class_list":["post-6699","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bitlocker-encryption","tag-corporate-cyberattack","tag-data-encryption","tag-diskpart-utility","tag-government-hack","tag-manufacturing-industry","tag-new-boot-partition","tag-ransomware-attack","tag-shrinklocker-ransomware","tag-threatactor","tag-vaccine-sector","tag-vbscript-malware","tag-visual-basic-scripting","tag-windows-ransomware","tag-wmi"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6699"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6699\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6700"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}