O nouă variantă de ransomware, denumită ShrinkLocker, creează o nouă partiție de boot pentru a cripta sistemele corporative folosind BitLocker de la Windows.
ShrinkLocker, numit astfel deoarece creează volumul de boot micșorând partițiile nebootabile disponibile, a fost folosit pentru a viza o entitate guvernamentală și companii din sectoarele de vaccinuri și producție.
Crearea de noi volume de boot
Utilizarea BitLocker pentru a cripta computerele nu este ceva nou. Un actor de amenințare a folosit această caracteristică de securitate din Windows pentru a cripta 100TB de date pe 40 de servere la un spital din Belgia. Alt atacator a folosit-o pentru a cripta sistemele unui producător și distribuitor de carne din Moscova.
În septembrie 2022, Microsoft a avertizat că un atacator sponsorizat de statul iranian a utilizat BitLocker pentru a cripta sistemele care rulează Windows 10, Windows 11 sau Windows Server 2016 și versiunile mai noi.
Totuși, Kaspersky spune că ShrinkLocker vine „cu funcții neanunțate anterior pentru a maximiza daunele atacului.”
ShrinkLocker este scris în limbajul de scriptare Visual Basic (VBScript), un limbaj introdus de Microsoft în 1996 și care acum este pe cale de a fi eliminat – disponibil ca o caracteristică la cerere începând cu Windows 11, versiunea 24H2 (aflată în stadiul de previzualizare).
Una dintre capacitățile sale este detectarea versiunii specifice de Windows care rulează pe mașina țintă folosind Windows Management Instrumentation (WMI) cu clasa Win32_OperatingSystem.
Atacul continuă doar dacă sunt îndeplinite anumite parametri, cum ar fi domeniul curent care se potrivește cu ținta și o versiune de sistem de operare (OS) mai nouă decât Vista. Altfel, ShrinkLocker se oprește automat și se șterge.
Dacă ținta îndeplinește cerințele pentru atac, malware-ul folosește utilitarul diskpart din Windows pentru a micșora fiecare partiție nebootabilă cu 100MB și împarte spațiul nealocat în noi volume primare de aceeași dimensiune. Cercetătorii Kaspersky spun că în Windows 2008 și 2012, ransomware-ul ShrinkLocker a salvat mai întâi fișierele de boot împreună cu indexul celorlalte volume.
Aceleași operațiuni de redimensionare sunt efectuate pe alte versiuni de Windows, dar cu o altă bucată de cod, explică cercetătorii în analiza lor tehnică.
Malware-ul folosește apoi instrumentul de linie de comandă BCDEdit pentru a reinstala fișierele de boot pe noile partiții create.
Blocarea utilizatorilor
ShrinkLocker modifică, de asemenea, intrările din registru pentru a dezactiva conexiunile desktop remote sau pentru a permite criptarea BitLocker pe gazdele fără un modul Trusted Platform Module (TPM) – un cip dedicat care oferă funcții de securitate bazate pe hardware.
Prin analiza dinamică a malware-ului, cercetătorii Kaspersky au confirmat că malware-ul face următoarele modificări în registru:
fDenyTSConnections = 1: dezactivează conexiunile RDPscforceoption = 1: impune autentificarea cu smart cardUseAdvancedStartup = 1: necesită utilizarea PIN-ului BitLocker pentru autentificarea pre-bootEnableBDEWithNoTPM = 1: permite BitLocker fără un cip TPM compatibilUseTPM = 2: permite utilizarea TPM dacă este disponibilUseTPMPIN = 2: permite utilizarea unui PIN de pornire cu TPM dacă este disponibilUseTPMKey = 2: permite utilizarea unei chei de pornire cu TPM dacă este disponibilUseTPMKeyPIN = 2: permite utilizarea unei chei de pornire și a unui PIN cu TPM dacă este disponibilEnableNonTPM = 1: permite BitLocker fără un cip TPM compatibil, necesită o parolă sau o cheie de pornire pe un flash drive USBUsePartialEncryptionKey = 2: necesită utilizarea unei chei de pornire cu TPMUsePIN = 2: necesită utilizarea unui PIN de pornire cu TPM
Actorul de amenințare din spatele ShrinkLocker nu lasă un fișier de răscumpărare pentru a stabili un canal de comunicare cu victima. În schimb, oferă o adresă de email de contact (onboardingbinder[at]proton[dot]me, conspiracyid9[at]protonmail[dot]com) ca etichetă a noilor partiții de boot.
Cu toate acestea, această etichetă nu va fi văzută de administratori decât dacă pornesc dispozitivul folosind un mediu de recuperare sau prin alte instrumente de diagnostic, făcând-o relativ ușor de omis.
După criptarea discurilor, actorul de amenințare șterge protectorii BitLocker (de exemplu, TPM, PIN, cheia de pornire, parola, parola de recuperare, cheia de recuperare) pentru a nega victimei orice opțiune de a recupera cheia de criptare BitLocker, care este trimisă atacatorului.
Cheia generată pentru criptarea fișierelor este o combinație de 64 de caractere de multiplicare și înlocuire aleatorie a unei variabile cu numere de la 0 la 9, caractere speciale și propoziția holoalfabetică „The quick brown fox jumps over the lazy dog.”
Cheia este livrată prin instrumentul TryCloudflare, un serviciu legitim pentru dezvoltatori pentru a experimenta cu tunelul CloudFlare fără a adăuga un site la DNS-ul CloudFlare.
În etapa finală a atacului, ShrinkLocker forțează sistemul să se închidă pentru ca toate modificările să intre în vigoare, lăsând utilizatorul cu discurile blocate și fără opțiuni de recuperare BitLocker.
BitLocker permite crearea unui mesaj personalizat pe ecranele de recuperare, care ar fi fost un loc perfect pentru a afișa un mesaj de extorcare pentru victime.
Lipsa unei note de răscumpărare ușor de văzut și o adresă de email lăsată doar ca etichetă de unitate ar putea indica faptul că aceste atacuri sunt menite să fie distructive, mai degrabă decât pentru câștig financiar.
Kaspersky a descoperit că ShrinkLocker are multiple variante și a fost folosit împotriva unei entități guvernamentale, precum și a organizațiilor din industria oțelului și a producției de vaccinuri din Mexic, Indonezia și Iordania.
Cristian Souza, specialist în răspuns la incidente la Kaspersky Global Emergency Response Team, spune că companiile care folosesc BitLocker pe sistemele lor ar trebui să asigure stocarea sigură a cheilor de recuperare și să mențină backup-uri regulate, salvate offline și testate.
În plus, organizațiile sunt recomandate să utilizeze o soluție EPP (Endpoint Protection Platforms) configurată corespunzător pentru a detecta încercările de abuz ale BitLocker, să activeze privilegii minime pentru utilizatori, să activeze logarea și monitorizarea traficului de rețea (atât cereri GET, cât și POST), să urmărească evenimentele legate de execuția VBS și PowerShell și să înregistreze scripturile asociate.
