Bilgisayar korsanları, Windows BitLocker aracından yararlanıyor; çünkü bu yardımcı program, sisteme veya verilere erişimi seçici olarak şifrelemek için çok güçlü bir araç sunuyor ve bu da kullanıcıların kilitlenmesine yardımcı oluyor.
Saldırganlar, kurbanın dosyalarını şifrelemek için BitLocker’ı kullanabilir ve bu dosyalara anahtar olmadan erişilemez hale gelebilir. Daha sonra anahtarı açıklamadan önce para istiyorlar.
Daha sonra tamamen fidye yazılımı görevi gören anahtarı açıklamadan önce para istiyorlar.
Kaspersky’nin “ShrinkLocker” analizi, kurbanları verilerinin dışında tutmak için Windows’un yerleşik BitLocker tam disk şifrelemesinden akıllıca yararlanıyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
ShrinkLocker Windows BitLocker
Yerel sürücüleri şifreledikten sonra, kendi önyükleme bölümünü oluşturmak için sürücü bölümlerini 100 MB kadar küçültür, BitLocker kurtarma anahtarlarını devre dışı bırakır ve şifreleme anahtarını saldırganlara gönderir.
Yeniden başlatma sırasında kurbanlar standart BitLocker parola istemini görüyor ancak sistemlerine erişemiyor; sürücü etiketleri tipik bir fidye notu yerine saldırganın e-posta fidye adresi olarak değiştirildi.
.webp)
ShrinkLocker, işletim sistemi sürümleri hakkında bilgi toplamak, bölümlerin boyutunu azaltarak sürücüleri hazırlamak ve BitLocker’ın bir saldırgan tarafından belirtildiği şekilde şifrelenmesini sağlayacak şekilde Windows kayıt defterini değiştirmek için kullanılan karmaşık bir VBScript fidye yazılımı programıdır.
Ayrıca kurtarma anahtarlarını devre dışı bırakır, bu anahtarlar için parola koruyucuyu etkinleştirir, sürücünün şifrelenmesinde kullanılacak bir parola oluşturur ve ardından bunu sürücüyü şifrelemede kullanır.
Bir sonraki adım, bu şifreyi ve sistem verilerini Cloudflare alt alanı aracılığıyla saldırganın C2 sunucusuna geri göndermek, kendisini tehlikeye atılmış bilgisayar sistemlerinden silmek, tüm günlükleri temizlemek ve bunları yeniden başlatmaktır, böylece kurbanlar, kayıtlarını geri almanın hiçbir yolu olmadan BitLocker komut isteminde kalırlar. Dosyalar.
Saldırılar Endonezya, Ürdün ve Meksika’da zaten bildirildi.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Kayıt defterini değiştirme veya tam disk şifrelemeyi etkinleştirme yeteneğini kısıtlayarak en az ayrıcalığı uygulayın.
- Trafik izleme ve olası şifre ve anahtar sızıntılarının tespiti için HTTP POST istek günlüğünü etkinleştirin.
- VBS ve PowerShell etkinliğini izleyin ve günlüğe kaydedin ve kötü amaçlı yazılımların günlükleri silebileceği için harici olarak saklayın.
- Verileri düzenli olarak çevrimdışına yedekleyin.
- Güvenilir uç nokta güvenlik çözümlerini kullanın.
- Şüpheli uç nokta etkinliğini izlemek ve bunlara yanıt vermek için EDR’yi kullanın.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free