Ingyenes ShrinkLocker ransomware decryptor
A román Bitdefender kiberbiztonsági vállalat ingyenes decryptor-t adott ki, amely segít az áldozatoknak a ShrinkLocker ransomware-rel titkosított adatok visszaszerzésében. A decryptor a ShrinkLocker belső működését részletező átfogó elemzés eredménye, amely lehetővé tette a kutatók számára, hogy felfedezzenek egy speciális ablakot az adatok helyreállítására közvetlenül a BitLockerrel titkosított lemezek védelmének eltávolítása után. A ShrinkLockert először 2024 májusában dokumentálta a Kaspersky, amelyet Mexikót, Indonéziát és Jordániát célzó ransomware támadások részeként azonosították. A ShrinkLocker a Microsoft natív BitLocker segédprogramját használja fájlok titkosítására.
A Bitdefender, amely egy meg nem nevezett közel-keleti egészségügyi vállalatot érintő ShrinkLocker incidenst vizsgált, azt mondta, hogy a támadás valószínűleg egy vállalkozó gépéről indult, ami ismét rávilágít arra, hogy a kiberszereplők egyre inkább visszaélnek a megbízható kapcsolatokkal, hogy beszivárogjanak az ellátási láncokba. A kiberszereplő egy kompromittált fiók hitelesítő adatainak felhasználásával oldalirányban mozgott egy Active Directory tartományvezérlőre, majd létrtehozott két ütemezett feladatot a ransomware folyamat aktiválásához. Az első feladat egy Visual Basic Scriptet („Check.vbs”) hajtott végre, amely átmásolta a ransomware-t minden tartományba léptetett gépre, addig a második – két nappal későbbre ütemezett – feladat futtatta a helyileg telepített ransomware-t („Audit.vbs”). A Bitdefender szerint a támadás során sikeresen titkosították a Windows 10, Windows 11, Windows Server 2016 és Windows Server 2019 rendszereket. A szkript célja, hogy információkat gyűjtsön a rendszer konfigurációjáról és az operációs rendszerről, majd ellenőrzi, hogy a BitLocker már telepítve van-e a Windows Server-en, és ha nincs, akkor egy PowerShell parancs segítségével telepíti, majd a Win32Shutdown segítségével kényszerített újraindítást hajt végre. A Bitdefender azonban egy olyan hibát észlelt, amely miatt ez a kérés „Privilege Not Held” hibaüzenettel sikertelen, ami miatt a VBScript egy végtelen ciklusban ragad . Ha a szervert manuálisan újra is indítják, a szkriptnek nincs olyan mechanizmusa, amely az újraindítás után folytatná a végrehajtást, ami azt jelenti, hogy a támadás megszakadhat vagy megakadályozható.
A ransomware-t úgy tervezték, hogy egy véletlenszerű jelszót generáljon, amelyet a rendszerre jellemző információkból – például a hálózati forgalom, a rendszermemória és a lemezkihasználtság – származtat, és azt felhasználva titkosítja a rendszer meghajtóit. Az egyedi jelszót ezután feltöltik egy, a támadó által felügyelt szerverre. Az újraindítást követően a felhasználónak meg kell adnia a jelszót a titkosított meghajtó feloldásához. A BitLocker ablakban megjelenik a kiberszereplő kapcsolattartó e-mail címe. A szkript emellett számos Registry módosítást végez a rendszerhez való hozzáférés korlátozására a távoli RDP-kapcsolatok letiltásával és a helyi jelszóalapú bejelentkezések kikapcsolásával. Továbbá letiltja a Windows tűzfal szabályait is, és törli az audit fájlokat.
