Новый вымогатель ShrinkLocker использует BitLocker в атаках на Windows

Новый вымогатель ShrinkLocker использует BitLocker в атаках на Windows

Новый вымогатель ShrinkLocker использует BitLocker в атаках на Windows

Специалисты команды Kaspersky GERT зафиксировали кибератаки на корпоративные устройства, в которых фигурирует новая программа-вымогатель. Этот вредонос отличается использованием легитимной функциональности Windows — BitLocker.

Заметим, что это не первый зловред, применяющий BitLocker для шифрования. Например, в 2022 году мы рассказывали о кибератаках группировки DEV-0270 (Nemesis Kitten), в которых также использовалась BitLocker.

Новый шифровальщик, о котором рассказала «Лаборатория Касперского, получил имя ShrinkLocker. Его операторы атакуют преимущественно промышленные и фармацевтические предприятия. Иногда целью становятся и государственные учреждения.

Киберпреступники написали под свои задачи скрипт на VBScript, который обычно используется для автоматизации задач на Windows-компьютерах. Код проверяет версию установленной Windows и, опираясь на нее, активирует BitLocker. По словам исследователей, ShrinkLocker может атаковать как старые, так и актуальные версии ОС.

Сначала вредоносный скрипт меняет параметры загрузки системы, а затем — шифрует разделы жесткого диска с помощью BitLocker. Чтобы зараженное устройство могло загрузиться, вредонос создает новый загрузочный раздел.

Кроме того, операторы вымогателя удаляют защитные инструменты, которые должны обеспечивать безопасность ключа шифрования BitLocker, чтобы пользователь не смог впоследствии его восстановить.

На подконтрольный злоумышленникам сервер отправляется информация о системе и ключ шифрования, сгенерированный на скомпрометированном устройстве. Далее удаляются логи и файлы, которые могут вывести специалистов на операторов ShrinkLocker.

Последним этапом программа-вымогатель принудительно блокирует вход в ОС, а пользователь видит сообщение следующего содержания:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Перед 1 сентября телефонные и онлайн-мошенники используют школьную тему

С приближением 1 сентября мошенники активизировались и начали использовать «школьную» тему, чтобы выманить деньги и данные у доверчивых людей. Эксперты Solar AURA из ГК «Солар» предупреждают: злоумышленники готовы цепляться за любой информационный повод, и подготовка детей к учебному году — не исключение.

Схемы могут быть разными. Например, звонок «от завуча» или «председателя родительского комитета» с просьбой пройти по ссылке и заполнить данные — банковские реквизиты, логин Telegram или код из СМС.

Другой вариант — фейковый интернет-магазин, предлагающий школьную форму или канцтовары с огромной скидкой. Заплатите — и продавец исчезнет вместе с вашими деньгами.

«Это означает, что пользователям могут позвонить от имени завуча, а могут от председателя родительского комитета, после чего попросить пройти по фишинговой ссылке и оставить свои персональные данные (данные банковской карты, аккаунта в Telegram и других порталов), либо назвать код из смс, дающий доступ к различным онлайн-сервисам», — рассказал Александр Вураско, директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар».

Чтобы не попасться на удочку, специалисты советуют:

  • относиться критически к любым звонкам;
  • не доверять незнакомым и не выполнять их просьбы;
  • перепроверять информацию и не торопиться;
  • никогда не диктовать коды из СМС и не переходить по подозрительным ссылкам;
  • проверять сайты через поисковик.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru