ShrinkLocker Erpressersoftware

Von Mezo in Ransomware

Übersetzen Sie in:

Zahlreiche Ransomware-Betreiber stellen die Notwendigkeit in Frage, einen Krypto-Sperrmechanismus in ihre Malware-Bedrohungen zu integrieren, da Microsofts robuste Verschlüsselungssoftware in Windows verfügbar ist. Ein bemerkenswertes Beispiel, auf das Cybersicherheitsexperten hingewiesen haben, ist ShrinkLocker. Diese Ransomware-Variante erstellt eine neue Boot-Partition, um Unternehmenssysteme mithilfe von Windows BitLocker zu verschlüsseln.

Inhaltsverzeichnis

Bedrohungsakteure sperren Daten durch Missbrauch legitimer Windows-Funktionen

Fälle von Ransomware, die BitLocker zur Verschlüsselung von Computern verwendet, sind keine Seltenheit. In einem Fall nutzte ein Bedrohungsakteur diese Sicherheitsfunktion in Windows, um 100 TB Daten auf 40 Servern in einem Krankenhaus in Belgien zu verschlüsseln. In ähnlicher Weise nutzte ein anderer Angreifer BitLocker, um Systeme eines in Moskau ansässigen Fleischproduzenten und -händlers zu verschlüsseln. Microsoft gab im September 2022 eine Warnung heraus, in der es bekannt gab, dass ein vom iranischen Staat gesponserter Angreifer BitLocker verwendet hatte, um Systeme mit Windows 10, Windows 11 oder Windows Server 2016 und höher zu verschlüsseln.

Bei genauerer Betrachtung von ShrinkLocker weisen Experten jedoch darauf hin, dass diese Bedrohung bisher unbekannte Funktionen aufweist, die darauf abzielen, das Ausmaß der Auswirkungen des Angriffs zu verstärken.

ShrinkLocker wird nur ausgeführt, wenn bestimmte Spezifikationen erfüllt sind

ShrinkLocker wurde in Visual Basic Scripting (VBScript) codiert, einer Sprache, die Microsoft bereits 1996 eingeführt hat und die nun auf dem Rückzug ist. Zu seinen Funktionen zählt die Fähigkeit, die spezifische Windows-Version zu identifizieren, die auf dem Zielcomputer ausgeführt wird, indem Windows Management Instrumentation (WMI) mit der Klasse Win32_OperatingSystem verwendet wird.

Der Angriff wird nur unter bestimmten Bedingungen fortgesetzt, z. B. wenn die aktuelle Domäne mit dem Ziel übereinstimmt und die Betriebssystemversion neuer als Vista ist. Andernfalls wird ShrinkLocker automatisch beendet und löscht sich selbst. Wenn das Ziel die Kriterien des Angriffs erfüllt, verwendet die Malware das Dienstprogramm „Disk Part“ in Windows, um jede Nicht-Boot-Partition um 100 MB zu verkleinern und den nicht zugewiesenen Speicherplatz in neue primäre Volumes identischer Größe aufzuteilen.

Die Forscher weisen darauf hin, dass die ShrinkLocker Ransomware in Windows 2008 und 2012 zunächst die Startdateien sowie den Index anderer Volumes beibehält. Ähnliche Größenänderungsvorgänge werden auch in anderen Windows-Betriebssystemversionen durchgeführt, allerdings mit anderen Codesegmenten, wie in der technischen Analyse der Forscher dargelegt. Anschließend verwendet die Malware das Befehlszeilentool BCDEdit, um die Startdateien auf den neu generierten Partitionen neu zu installieren.

Die ShrinkLocker-Ransomware macht die Daten auf ganzen Laufwerkspartitionen unbrauchbar

ShrinkLocker ändert außerdem Registrierungseinträge, um Remotedesktopverbindungen zu deaktivieren oder die BitLocker-Verschlüsselung auf Hosts ohne Trusted Platform Module (TPM) zu aktivieren. Dieser dedizierte Chip bietet hardwarebasierte, sicherheitsrelevante Funktionen.

Der Bedrohungsakteur hinter ShrinkLocker hinterlässt keine Lösegeldforderung, um einen Kommunikationskanal mit dem Opfer aufzubauen. Stattdessen gibt er eine Kontakt-E-Mail-Adresse (onboardingbinder@proton.me, conspiracyid9@protonmail.com) als Bezeichnung für die neuen Bootpartitionen an. Diese Bezeichnung wird jedoch von Administratoren nicht gesehen, es sei denn, sie booten das Gerät mithilfe einer Wiederherstellungsumgebung oder anderer Diagnosetools, sodass sie recht leicht übersehen werden kann.

Nach der Verschlüsselung der Laufwerke löscht der Bedrohungsakteur die BitLocker-Schutzfunktionen (z. B. TPM, PIN, Startschlüssel, Kennwort, Wiederherstellungskennwort, Wiederherstellungsschlüssel), um dem Opfer jede Möglichkeit zu nehmen, den an den Angreifer gesendeten Verschlüsselungsschlüssel von BitLocker wiederherzustellen.

Der zum Verschlüsseln von Dateien generierte Schlüssel ist eine 64-stellige Kombination aus zufälliger Multiplikation und Ersetzung einer Variablen durch Zahlen von 0 bis 9, Sonderzeichen und dem holoalphabetischen Satz „Der schnelle braune Fuchs springt über den faulen Hund“. Der Schlüssel wird über das Tool TryCloudflare bereitgestellt, einen legitimen Dienst für Entwickler, die mit dem Tunnel von CloudFlare experimentieren möchten, ohne eine Site zum DNS von CloudFlare hinzuzufügen.

In der letzten Phase des Angriffs erzwingt ShrinkLocker ein Herunterfahren des Systems, damit alle Änderungen wirksam werden. Der Benutzer bleibt dann mit gesperrten Laufwerken und ohne BitLocker-Wiederherstellungsoptionen zurück.

Die ShrinkLocker-Bedrohungsakteure sind möglicherweise nicht finanziell motiviert

BitLocker bietet die Möglichkeit, auf Wiederherstellungsbildschirmen eine personalisierte Nachricht zu erstellen, und stellt damit eine ideale Plattform für die Anzeige einer Erpressernachricht an die Opfer dar. Das Fehlen einer prominent angezeigten Lösegeldforderung und einer lediglich als Laufwerksbezeichnung bezeichneten E-Mail könnte darauf hindeuten, dass diese Angriffe eher destruktiver Natur sind und nicht aus finanziellen Motiven getrieben werden.

Forscher haben herausgefunden, dass ShrinkLocker in mehreren Varianten existiert und gegen eine Regierungsbehörde sowie Unternehmen in der Stahl- und Impfstoffherstellung in Mexiko, Indonesien und Jordanien eingesetzt wurde.

Unternehmen, die BitLocker auf ihren Systemen einsetzen, wird dringend empfohlen, die sichere Speicherung von Wiederherstellungsschlüsseln sicherzustellen und regelmäßig Offline-Backups zu erstellen, die regelmäßig getestet werden. Darüber hinaus wird Organisationen dringend empfohlen, eine ordnungsgemäß konfigurierte Endpoint Protection Platform (EPP)-Lösung einzusetzen, um Missbrauchsversuche von BitLocker zu erkennen, minimale Benutzerrechte durchzusetzen, eine umfassende Protokollierung und Überwachung des Netzwerkverkehrs (einschließlich GET- und POST-Anfragen) zu ermöglichen, mit der Ausführung von VBS und PowerShell verbundene Ereignisse zu verfolgen und relevante Skripts zu protokollieren.