Bitdefender, kurbanın dosyalarını kilitlemek için Windows’un yerleşik BitLocker sürücü şifreleme aracını kullanan ‘ShrinkLocker’ fidye yazılımı türü için bir şifre çözücü yayınladı.
Mayıs 2024’te siber güvenlik şirketi Kaspersky’deki araştırmacılar tarafından keşfedilen ShrinkLocker, diğer fidye yazılımı ailelerinin gelişmişliğinden yoksun ancak bir saldırının zararını en üst düzeye çıkarabilecek özellikleri entegre ediyor.
Bitdefender’ın analizine göre, kötü amaçlı yazılım, VBScript kullanılarak on yıllık iyi huylu koddan yeniden tasarlanmış gibi görünüyor ve genel olarak güncel olmayan tekniklerden yararlanıyor.
Araştırmacılar, ShrinkLocker’ın operatörlerinin düşük vasıflı göründüklerini, gereksiz kod ve yazım hataları kullandıklarını, metin dosyaları biçiminde keşif günlüklerini geride bıraktıklarını ve hazır araçlara güvendiklerini belirtiyorlar.
Ancak tehdit aktörünün kurumsal hedeflere başarılı saldırıları oldu.
Bugün yayınlanan bir raporda Bitdefender, saldırganların yedeklemeler de dahil olmak üzere ağdaki Windows 10, Windows 11 ve Windows Server cihazlarını şifrelediği bir sağlık kuruluşuna yönelik ShrinkLocker saldırısını vurguluyor.
Şifreleme süreci 2,5 saat içinde tamamlandı ve kuruluş kritik sistemlere erişimi kaybetti ve potansiyel olarak hasta bakımını sağlamada zorluklarla karşı karşıya kaldı.
Bitdefender, ShrinkLocker kurbanlarının dosyalarını kurtarmasına yardımcı olabilecek ücretsiz bir şifre çözme aracı yayınlıyor.
ShrinkLocker saldırıları
ShrinkLocker, geleneksel fidye yazılımı gibi özel şifreleme uygulamalarını kullanmak yerine, saldırgana gönderilen rastgele oluşturulmuş bir parolayla Windows BitLocker’ı kullanır.
Kötü amaçlı yazılım, öncelikle BitLocker’ın hedef sistemde mevcut olup olmadığını kontrol etmek için bir Windows Yönetim Araçları (WMI) sorgusu çalıştırır ve mevcut değilse aracı yükler.
Daha sonra, sürücünün kazara şifrelenmesini önleyen tüm varsayılan korumaları kaldırır. Hız sağlamak amacıyla, BitLocker’ın yalnızca diskteki işgal edilen alanı şifrelemesini sağlamak için ‘-UsedSpaceOnly’ bayrağını kullanır.
Rastgele parola, ağ trafiği ve bellek kullanım verileri kullanılarak oluşturulur, dolayısıyla kaba zorlamayı mümkün kılacak hiçbir kalıp yoktur.
ShrinkLocker betiği ayrıca şifreleme anahtarlarının kurtarılmasını zorlaştırmak için tüm BitLocker koruyucularını silecek ve yeniden yapılandıracaktır.
“Koruyucular, BitLocker tarafından şifreleme anahtarını korumak için kullanılan mekanizmalardır. Bunlar arasında TPM’ler gibi donanım koruyucuları veya parolalar veya kurtarma anahtarları gibi yazılım koruyucuları bulunabilir. Komut dosyası, tüm koruyucuları silerek kurbanın verilerini kurtarmasını veya şifresini çözmesini imkansız hale getirmeyi amaçlamaktadır. sürücü,” diye açıklıyor Bitdefender.
Yayılma için ShrinkLocker, Grup İlkesi Nesnelerini (GPO’lar) ve zamanlanmış görevleri kullanır, Active Directory etki alanı denetleyicilerindeki Grup İlkesi ayarlarını değiştirir ve güvenliği ihlal edilmiş ağdaki tüm sürücülerin şifrelenmesini sağlamak amacıyla etki alanına katılan tüm makineler için görevler oluşturur.
Kaynak: Bitdefender
Yeniden başlatmanın ardından kurbanlar, tehdit aktörünün iletişim bilgilerini de içeren bir BitLocker şifre ekranı görüyor.
Kaynak: Bitdefender
Bitdefender şifre çözücüyü yayınladı
Bitdefender, ShrinkLocker’ın BitLocker koruyucularını silip yeniden yapılandırma sırasını tersine çeviren bir şifre çözücü oluşturup yayınladı.
Araştırmacılar, “BitLocker ile şifrelenmiş disklerdeki koruyucuların kaldırılmasından hemen sonra veri kurtarma için belirli bir fırsat penceresi” belirlediklerini, bunun da saldırgan tarafından belirlenen parolanın şifresini çözmelerine ve kurtarmalarına olanak sağladığını söylüyorlar.
Bu, şifreleme sürecini tersine çevirmeyi ve sürücüleri önceki şifrelenmemiş durumlarına geri getirmeyi mümkün kılar.
ShrinkLocker kurbanları, aracı indirip etkilenen sistemlere bağlı bir USB sürücüsünden kullanabilir. BitLocker kurtarma ekranı gösterildiğinde, kullanıcılar BitLocker Kurtarma Moduna girmeli ve şifre çözme aracının başlatılmasına izin veren bir komut istemi sağlayan Gelişmiş seçeneklere ulaşmak için tüm adımları atlamalıdır.
Kaynak: Bitdefender
Araştırmacılar, verilerin şifresini çözme süresinin sistemin donanımına ve şifrelemenin karmaşıklığına bağlı olduğu ve biraz zaman alabileceği konusunda uyarıyor.
İşlem tamamlandığında, şifre çözücü sürücünün kilidini açacak ve akıllı kart tabanlı kimlik doğrulamayı devre dışı bırakacaktır.
Bitdefender, şifre çözücünün yalnızca Windows 10, Windows 11 ve son Windows Server sürümlerinde çalıştığını ve fidye yazılımı saldırısından kısa bir süre sonra, BitLocker’ın yapılandırmalarının henüz tamamen geçersiz kılınmadığı ve kurtarılabileceği durumlarda kullanıldığında en etkili olduğunu belirtiyor.
Ne yazık ki bu yöntem, diğer yöntemler kullanılarak oluşturulan BitLocker şifrelerini kurtarmada işe yaramayacaktır.