Эксперты обнаружили атаки на корпоративные устройства с помощью новой программы-вымогателя, использующей BitLocker. Это функция безопасности Windows, которая позволяет защитить данные с помощью шифрования.
Вредоносное программное обеспечение назвали ShrinkLocker, с его помощью злоумышленники пытались взломать устройства промышленных и фармацевтических компаний, а также государственных учреждений. Как действовали мошенники
Хакеры создали вредоносный скрипт на VBScript – языке программирования, используемого для автоматизации задач на компьютерах под управлением Windows. Этот скрипт проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует функционал BitLocker. Вред может заражать различные версии операционной системы – от самых старых до современных.
Скрипт изменяет параметры загрузки операционной системы, а затем пытается зашифровать разделы жесткого диска с помощью BitLocker. Создается новый загрузочный раздел, а затем удаляются инструменты безопасности, которые используются для защиты ключа шифрования BitLocker. В результате пострадавший пользователь не может их восстановить.
Вредный скрипт посылает на сервер злоумышленников информацию о системе и ключе шифрования, сгенерированный на зараженном компьютере. После этого он «заметает следы»: удаляет логи и разные файлы, которые могут помочь в исследовании атаки. На заключительном этапе вредоносная программа принудительно блокирует доступ к системе. Жертва видит на экране сообщения: «На вашем компьютере нет вариантов восстановления BitLocker». > Интересный факт: название ShrinkLocker должно отсылать к английскому слову shrink, то есть уменьшать. При атаке ключевую роль играет изменение параметров разделов жесткого диска. Это действие позволяет злоумышленникам загружать систему с зашифрованными файлами.
Компаниям, использующим BitLocker, необходимо использовать надежные пароли и безопасно хранить ключи для восстановления доступа. Также важно организовать резервное копирование важных данных. Рекомендуем использовать решения класса MDR или EDR для раннего обнаружения и, конечно, расследовать все инциденты для обнаружения начального вектора атаки для устранения повторения подобных инцидентов в будущем.
Как защитить устройство
Чтобы уменьшить риски, эксперты рекомендуют:
- использовать комплексное защитное решение для оперативного обнаружения и реагирования на угрозы;
- ограничить привилегии корпоративных пользователей, чтобы предотвратить несанкционированную активацию функционала шифрования, а также изменение ключей реестра;
- вести регистрацию сетевого трафика и осуществлять его мониторинг, в том числе GET- и POST-запросов, поскольку вследствие заражения системы пароли ключи шифрования могут передаваться на домены злоумышленников;
- отслеживать события, связанные с VBScript и PowerShell, и сохранять зарегистрированные скрипты и команды во внешнем репозитории, чтобы обеспечить их активность в случае локального удаления;
- проводить анализ инцидентов для выявления начального вектора атак и предотвращения подобных атак в будущем.