Эксперты глобальной команды реагирования на киберинциденты «Лаборатории Касперского» (Kaspersky GERT) обнаружили атаки на корпоративные устройства с помощью новой программы-вымогателя, использующей BitLocker. Это функция безопасности в Windows, которая позволяет защитить данные с помощью шифрования.
Вредоносное ПО назвали ShrinkLocker, сообщила пресс-служба «Лаборатории Касперского». С его помощью злоумышленники пытались взломать устройства промышленных и фармацевтических компаний, а также государственных учреждений.
Как действовали мошенники
Хакеры создали вредоносный скрипт на VBScript — языке программирования, используемом для автоматизации задач на компьютерах под управлением Windows. Этот скрипт проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует функционал BitLocker. Зловред может заражать различные версии операционной системы — от самых старых до современных.
Скрипт изменяет параметры загрузки ОС, а потом пытается зашифровать разделы жесткого диска с помощью BitLocker. Создается новый загрузочный раздел, затем происходит удаление инструментов безопасности, которые используют для защиты ключа шифрования BitLocker. В итоге пострадавший пользователь не может их восстановить.
Вредоносный скрипт отправляет на сервер злоумышленников информацию о системе и ключ шифрования, сгенерированный на зараженном компьютере. После этого он «заметает следы»: удаляет логи и различные файлы, которые могут помочь в исследовании атаки. На заключительном этапе вредоносная программа принудительно блокирует доступ в систему. Жертва видит на экране сообщение: «На вашем компьютере нет вариантов восстановления BitLocker».
Интересный факт: название ShrinkLocker имеет отсылку к английскому слову shrink, то есть «уменьшать». При атаках ключевую роль играет изменение параметров разделов жесткого диска. Это действие позволяет злоумышленникам загружать систему с зашифрованными файлами.
Компаниям, использующим BitLocker, необходимо использовать надежные пароли и безопасно хранить ключи для восстановления доступа. Также важно организовать резервное копирование важных данных. Рекомендуем использовать решения класса MDR или EDR для раннего обнаружения и, конечно, расследовать все инциденты для выявления начального вектора атаки для устранения повторения подобных инцидентов в будущем.
Как защитить свое устройство
Чтобы снизить риски, эксперты «Лаборатории Касперского» рекомендуют:
- использовать комплексное защитное решение для оперативного обнаружения и реагирования на угрозы;
- ограничить привилегии корпоративных пользователей, чтобы предотвратить несанкционированную активацию функционала шифрования, а также изменение ключей реестра;
- вести регистрацию сетевого трафика и осуществлять его мониторинг, в том числе GET- и POST-запросов, поскольку в результате заражения системы пароли и ключи шифрования могут передаваться на домены злоумышленников;
- отслеживать события, связанные с VBScript и PowerShell, и хранить зарегистрированные скрипты и команды во внешнем репозитории, чтобы обеспечить их активность в случае локального удаления;
- проводить анализ инцидентов для выявления начального вектора атак и предотвращения подобных атак в будущем.
Ранее в России разоблачили наглую мошенническую схему. Злоумышленники нацелились на военнослужащих и их родственников.
