Tehdit aktörleri, evrakların geri yüklenmesini önlemek için kurtarma seçeneklerini kaldırıyor ve yeni bir özelliğe sahip makûs hedefli bir komut evrakı kullanıyor. Ayrıyeten muhakkak Windows sürümlerini algılayabiliyor ve Windows sürümüne nazaran BitLocker’ı etkinleştirebiliyor.
“ShrinkLocker” olarak isimlendirilen bu fidye yazılımı ve türevleriyle ilgili hadiseler Meksika, Endonezya ve Ürdün’de gözlemlendi. Failler çelik ve aşı üretimi yapan şirketleri ve bir kamu kurumunu maksat aldı.
Kaspersky Küresel Acil Durum Müdahale grubunun bildirdiğine nazaran, tehdit aktörleri Windows bilgisayarlardaki vazifeleri otomatikleştirmek için kullanılan bir programlama lisanı olan VBScript’i kullanarak, hücumun ziyanını en üst seviyeye çıkarmak için daha evvel bildirilmemiş özelliklere sahip makûs emelli bir komut belgesi oluşturuyor. Buradaki yenilik, tehdidin sistemde yüklü olan mevcut Windows sürümünü denetim etmesi ve BitLocker özelliklerini buna nazaran aktifleştirmesi. Bu formda tehdidin Windows Server 2008’e kadar yeni ve eski sistemlere bulaşabileceğine inanılıyor.
İşletim sistemi sürümünün akın için uygun olması durumunda, komut belgesi önyükleme ayarlarını değiştiriyor ve BitLocker kullanarak tüm şoförleri şifrelemeye çalışıyor. Yeni bir önyükleme kısmı oluşturarak bilgisayarın şoföründe işletim sisteminin ön yüklenmesi için gerekli evrakları içeren başka bir kısım kuruyor. Bu aksiyon kurbanı daha sonraki bir evrede kilitlemeyi amaçlıyor. Saldırganlar ayrıyeten BitLocker’ın şifreleme anahtarını teminat altına almak için kullanılan koruyucuları da siliyor, böylelikle kurban bunları kurtaramıyor.
Kötü emelli komut evrakı daha sonra sistem hakkındaki bilgileri ve ele geçirilen bilgisayarda oluşturulan şifreleme anahtarını tehdit aktörü tarafından denetim edilen sunucuya gönderiyor. Akabinde ipucu niteliğinde olan ve atağın araştırılmasına yardımcı olabilecek günlük kayıtlarını ve çeşitli evrakları silerek izini kapatıyor.
Son adımda makus maksatlı yazılım sistemi kapatmaya zorluyor ki, bu başka bir önyükleme kısmında evrakların oluşturulması ve tekrar yüklenmesi ile sağlanan bir yetenek. Kurban BitLocker ekranında şu iletisi görüyor: “Bilgisayarınızda artık BitLocker kurtarma seçeneği mevcut değil”.
Sistemin zorla kapatılmasından sonra kurbanın ekranında beliren mesaj
Kaspersky kelam konusu komut belgesini “ShrinkLocker” olarak isimlendirdi. Bu isim, saldırganın sistemin şifrelenmiş evraklarla yanlışsız biçimde ön yüklenmesini sağlamak için gerekli olan kritik tekrar kısım boyutlandırma prosedürünü vurguluyor.
Kaspersky Küresel Acil Durum Müdahale Takımı Olay Müdahale Uzmanı Cristian Souza, şunları söylüyor: “Bu olayda bilhassa telaş verici olan şey, başlangıçta data hırsızlığı yahut ifşa risklerini azaltmak için tasarlanan BitLocker’ın saldırganlar tarafından berbat niyetli hedefler için kullanılmasıdır. Bir güvenlik tedbirinin bu biçimde silah haline getirilmesi acımasız bir ironi. BitLocker kullanan şirketlerin güçlü parolaları ve kurtarma anahtarlarını inançlı bir biçimde saklanması çok değerlidir. Çevrimdışı tutulan ve test edilen sistemli yedeklemeler de temel müdafaa tedbirleridir.”
Olayın detaylı teknik analizi Securelist’te yer alıyor. Kaspersky uzmanları, saldırganların raporda açıklanan özellikten yararlanmasını önlemek için aşağıdaki hafifletme tedbirlerini öneriyor:
- BitLocker’ı berbata kullanmaya çalışan tehditleri tespit etmek için sağlam, düzgün yapılandırılmış bir güvenlik yazılımı kullanın. Tehditleri proaktif olarak araştırmak için Yönetilen Algılama ve Karşılık (MDR) uygulayın.
- Şifreleme özelliklerinin yetkisiz olarak aktifleştirilmesini yahut kayıt defteri anahtarlarının değiştirilmesini önlemek için kullanıcı ayrıcalıklarını sonlandırın.
- Virüs bulaşmış sistemler saldırgan tesir alanlarına parola yahut anahtar iletebileceğinden, hem GET hem de POST isteklerini yakalayarak ağ trafiğinin günlüğe kaydını ve izlenmesini aktifleştirin.
- VBScript ve PowerShell yürütme olaylarını izleyin. Günlüğe kaydedilen komut belgelerini ve komutları lokal silme sürecine karşılık aktif bir formda saklamak için harici bir depolamaya kaydedin
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
