.
Atualizada Ainda mais ransomwares estão usando o Microsoft BitLocker para criptografar arquivos corporativos, roubar a chave de descriptografia e, em seguida, extorquir pagamentos das organizações vítimas, de acordo com a Kaspersky.
A equipe de Resposta Global a Emergências do fabricante de antivírus detectou o malware, apelidado de ShrinkLocker, no México, na Indonésia e na Jordânia, e disse que os operadores não identificados do código tinham como alvo empresas siderúrgicas e fabricantes de vacinas, além de uma entidade governamental.
Criminosos, incluindo gangues de ransomware, que usam ferramentas de software legítimas não são novidade – olá, Cobalt Strike. E, de fato, a Microsoft disse anteriormente que os malfeitores iranianos abusaram do recurso de criptografia de volume total BitLocker integrado do Windows para bloquear dispositivos comprometidos. Podemos nos lembrar de outras variedades de extortionware que usam o BitLocker em máquinas infectadas para criptografar dados e mantê-los sob resgate.
Com o ShrinkLocker, no entanto, “o adversário tomou medidas adicionais para maximizar os danos do ataque e impedir uma resposta eficaz ao incidente”, disseram os caçadores de ameaças da Kasperky Cristian Souza, Eduardo Ovalle, Ashley Muñoz e Christopher Zachor em pesquisa publicada quinta-feira. O artigo inclui detalhes técnicos para detectar e bloquear variantes do ShrinkLocker.
O registro entrou em contato com Redmond para comentar e atualizará esta história se e quando recebermos resposta.
Ransomware ataca hospitalizando profissionais de segurança, já que alguém admite sentimentos suicidas
CONSULTE MAIS INFORMAÇÃO
Depois de conseguirem a execução do código na máquina da vítima, os ladrões de dados implantam o ShrinkLocker, que usa VBScript para investigar a Instrumentação de Gerenciamento do Windows para determinar a versão do sistema operacional. Ele faz isso para selecionar as etapas corretas para qualquer sistema operacional da Microsoft em execução, permitindo extorquir sistemas atuais, bem como aqueles que datam do Windows Server 2008.
Quanto a essas etapas, o script executa operações de redimensionamento de disco (esta é a parte “Reduzir” do ShrinkLocker) em unidades fixas em vez de unidades de rede (presumivelmente para minimizar a detecção), reorganiza o particionamento e a configuração de inicialização, garante que o BitLocker esteja instalado e funcionando e em última análise, criptografa o armazenamento do computador. Consulte o relatório da Kaspersky para saber como isso funciona especificamente para cada tipo de sistema operacional da Microsoft.
Além disso, o malware altera o rótulo das partições para o e-mail dos extorsionários, o que permite à vítima entrar em contato com os criminosos.
Depois de enviar a chave de descriptografia necessária para acessar as unidades codificadas para um servidor controlado pelos criminosos, o malware exclui a chave localmente, destruindo as opções de recuperação do usuário, juntamente com os logs do sistema que podem ajudar os defensores da rede a detectar ou analisar o ataque com mais facilidade.
Por fim, ele desliga o sistema comprometido e exibe a tela do BitLocker com a mensagem: “Não há mais opções de recuperação do BitLocker no seu PC”. Game Over.
Além de listar os indicadores de comprometimento do ShrinkLocker e sugerir que as organizações usem produtos gerenciados de detecção e resposta para procurar ameaças, a Kaspersky recomenda que as empresas tomem medidas para evitar serem vítimas dessas infecções por ransomware.
Isso inclui limitar os privilégios dos usuários para que eles não possam ativar recursos de criptografia ou modificar chaves de registro. E se você tiver o BitLocker habilitado, use uma senha forte e armazene as chaves de recuperação com segurança.
Além disso, monitore eventos de execução de VBScript e PowerShell e registre o máximo possível de atividades críticas do sistema em um repositório externo que não pode ser excluído localmente.
Além disso, faça backup de sistemas e arquivos com frequência, armazene-os off-line e certifique-se de testá-los para garantir que possam ser recuperados em caso de ransomware ou algum outro problema de segurança. ®
Atualizado para adicionar
A Microsoft não teve nada de tranquilizador a dizer sobre isso, exceto: “Recomendamos que os clientes sigam as melhores práticas de segurança – garantindo que todas as atualizações disponíveis sejam instaladas e executando proteção contra ameaças atualizada”.
PS: Ainda se sente bem com o Windows Recall e seus instantâneos criptografados?
.
