Вот еще одна программа-вымогатель, использующая BitLocker против собственных пользователей Microsoft

Важные новости

Вот еще одна программа-вымогатель, использующая BitLocker против собственных пользователей Microsoft< /p>

По данным Касперского, все больше программ-вымогателей используют Microsoft BitLocker для шифрования корпоративных файлов, кражи ключа дешифрования и последующего вымогательства платежей у организаций-жертв.

Группа глобального реагирования на чрезвычайные ситуации производителя антивируса обнаружил вредоносное ПО, получившее название ShrinkLocker, в Мексике, Индонезии и Иордании и заявил, что неназванные операторы кода нацелены на компании по производству стали и вакцин, а также на правительственное учреждение.

Преступники, в том числе банды, занимающиеся программами-вымогателями, используют законные программные инструменты — нет ничего нового — здравствуй, Cobalt Strike. Более того, Microsoft ранее заявляла, что иранские злоумышленники злоупотребили встроенной функцией полномасштабного шифрования Windows BitLocker для блокировки скомпрометированных устройств. Мы можем вспомнить другие разновидности программ-вымогателей, использующих BitLocker на зараженных машинах для шифрования данных и удержания их с целью выкупа.

Однако с помощью ShrinkLocker «злоумышленник предпринял дополнительные шаги, чтобы максимизировать ущерб от атаки и помешать эффективному реагированию на инцидент», — заявили охотники за угрозами Kasperky Кристиан Соуза, Эдуардо Овалье, Эшли Муньос и Кристофер Захор в исследовании, опубликованном в четверг. В статье содержатся технические подробности по обнаружению и блокировке вариантов ShrinkLocker.

The Register обратился в Редмонд за комментариями и обновит эту историю, если и когда мы получим ответ.

Вот еще больше программ-вымогателей, использующих BitLocker против собственных пользователей Microsoft

Атаки программ-вымогателей госпитализируют специалистов по безопасности, поскольку каждый признает суицидальные чувства

ЧИТАТЬ ДАЛЬШЕ < р>Получив выполнение кода на компьютере жертвы, похитители данных развертывают ShrinkLocker, который использует VBScript для проверки инструментария управления Windows и определения версии операционной системы. Это делается для того, чтобы выбрать правильные шаги для любой операционной системы Microsoft, что позволяет ему вымогать текущие системы, а также системы, относящиеся к Windows Server 2008.

Что касается этих шагов, сценарий выполняет операции по изменению размера диска (это часть «Сжатия» ShrinkLocker) на фиксированных, а не на сетевых дисках (предположительно, чтобы минимизировать обнаружение), перенастраивает настройку разделов и загрузки, гарантирует, что BitLocker запущен и работает, и в конечном итоге шифрует хранилище компьютера. О том, как это работает для каждого варианта операционных систем Microsoft, читайте в отчете «Лаборатории Касперского».

Кроме того, вредоносная программа меняет метки разделов на электронную почту вымогателей, что позволяет жертве связаться с мошенниками.

После отправки ключа дешифрования, необходимого для доступа к зашифрованным дискам, на сервер, контролируемый преступниками, вредоносная программа удаляет ключ локально, уничтожая параметры восстановления пользователя, а также системные журналы, которые могут помочь сетевым защитникам легче обнаружить или проанализировать атаку.

Наконец, он выключает скомпрометированную систему и отображает экран BitLocker с сообщением: «На вашем компьютере больше нет вариантов восстановления BitLocker». Игра окончена.

Помимо перечисления индикаторов компрометации ShrinkLocker и предложения организациям использовать управляемые продукты обнаружения и реагирования для поиска угроз, кашель, Касперский рекомендует предприятиям принять меры, чтобы не стать жертвой этих заражений программами-вымогателями.< /p>

Это включает ограничение прав пользователей, чтобы они не могли включать функции шифрования или изменять ключи реестра. А если у вас включен BitLocker, используйте надежный пароль и надежно храните ключи восстановления.

Кроме того, отслеживайте события выполнения VBScript и PowerShell и записывайте как можно больше критических системных действий во внешний репозиторий, который может не удаляются локально.

Плюс часто делайте резервные копии систем и файлов, храните их в автономном режиме и обязательно проверяйте их, чтобы гарантировать, что их можно будет восстановить в случае заражения программами-вымогателями или каких-либо других проблем с безопасностью. ®

Новости сегодня

Последние новости