محققان امنیت سایبری نوع جدیدی از باجافزار را کشف کردهاند که از BitLocker ویندوز برای قفل کردن قربانیان از دستگاههایشان سوء استفاده میکند.
همانطور که توسط BleepingComputer گزارش شده است، کسپرسکی باجافزار جدید ShrinkLocker را نامگذاری کرده است، زیرا به محض ورود، پارتیشنهای غیر بوت موجود را تا 100 مگابایت کوچک میکند و حجمهای بوت اولیه جدیدی با همان اندازه ایجاد میکند. سپس از BitLocker، یک ویژگی رمزگذاری کامل دیسک که در برخی از نسخههای ویندوز مایکروسافت گنجانده شده است، برای رمزگذاری فایلها در نقطه پایانی هدف استفاده میکند.
تاکنون دیده شده است که به سازمان های دولتی و شرکت های تولیدی و دارویی ضربه زده است.
حداکثر آسیب
برای افراد ناآشنا، BitLocker یک ویژگی قانونی ویندوز است که برای محافظت از داده ها با ارائه رمزگذاری برای کل حجم ها طراحی شده است.
ShrinkLocker اولین نوع باج افزاری نیست که از BitLocker برای رمزگذاری سیستم ها استفاده می کند. BleepingComputer تاکید کرد که بیمارستانی در بلژیک مورد حمله باج افزاری قرار گرفت که از BitLocker برای رمزگذاری 100 ترابایت داده در 40 سرور استفاده می کرد و در سال 2022، یک تولید کننده و توزیع کننده گوشت در روسیه به نام Miratorg Holding به سرنوشت مشابهی دچار شد.
اما کسپرسکی هشدار داد که ShrinkLocker همچنین «با آپشن های گزارش نشده قبلی برای به حداکثر رساندن آسیب حمله ارائه میشود».
بیشتر بخوانید
از جمله موارد دیگر، رمزگذار یادداشت باج نمیاندازد، که این یک روش استاندارد است. در عوض، پارتیشنهای راهاندازی جدید را بهعنوان آدرسهای ایمیل برچسبگذاری میکند و احتمالاً قربانیان را دعوت میکند تا با این روش ارتباط برقرار کنند.
علاوه بر این، پس از رمزگذاری موفقیتآمیز، باجافزار تمام محافظهای BitLocker را حذف میکند و قربانیان را از هرگونه گزینه برای بازیابی کلید رمزگذاری BitLocker محروم میکند. تنها فردی که کلید را در دست دارد مهاجمان هستند که آن را از طریق TryCloudflare به دست می آورند. این نیز یک ابزار قانونی است که توسعه دهندگان از آن برای آزمایش تونل CloudFlare استفاده می کنند، بدون اینکه نیازی به گفت ن سایت به DNS CloudFlare باشد.
تاکنون، عوامل تهدید ناشناس سیستمهای متعلق به سازمانهای تولیدکننده فولاد و واکسن در مکزیک، اندونزی و اردن را به خطر انداختهاند.
ارسال نظر