Новый вымогатель ShrinkLocker использует BitLocker в атаках на Windows

Екатерина Быстрова 23 Мая 2024 - 16:42

Корпорации

Windows

Лаборатория Касперского

Вирусы-вымогатели

Вирусы-шифровальщики

Целевые атаки

Таргетированные атаки

...

Новый вымогатель ShrinkLocker использует BitLocker в атаках на Windows

Специалисты команды Kaspersky GERT зафиксировали кибератаки на корпоративные устройства, в которых фигурирует новая программа-вымогатель. Этот вредонос отличается использованием легитимной функциональности Windows — BitLocker.

Заметим, что это не первый зловред, применяющий BitLocker для шифрования. Например, в 2022 году мы рассказывали о кибератаках группировки DEV-0270 (Nemesis Kitten), в которых также использовалась BitLocker.

Новый шифровальщик, о котором рассказала «Лаборатория Касперского, получил имя ShrinkLocker. Его операторы атакуют преимущественно промышленные и фармацевтические предприятия. Иногда целью становятся и государственные учреждения.

Киберпреступники написали под свои задачи скрипт на VBScript, который обычно используется для автоматизации задач на Windows-компьютерах. Код проверяет версию установленной Windows и, опираясь на нее, активирует BitLocker. По словам исследователей, ShrinkLocker может атаковать как старые, так и актуальные версии ОС.

Сначала вредоносный скрипт меняет параметры загрузки системы, а затем — шифрует разделы жесткого диска с помощью BitLocker. Чтобы зараженное устройство могло загрузиться, вредонос создает новый загрузочный раздел.

Кроме того, операторы вымогателя удаляют защитные инструменты, которые должны обеспечивать безопасность ключа шифрования BitLocker, чтобы пользователь не смог впоследствии его восстановить.

На подконтрольный злоумышленникам сервер отправляется информация о системе и ключ шифрования, сгенерированный на скомпрометированном устройстве. Далее удаляются логи и файлы, которые могут вывести специалистов на операторов ShrinkLocker.

Последним этапом программа-вымогатель принудительно блокирует вход в ОС, а пользователь видит сообщение следующего содержания:

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Июля 2025 - 11:20

Уязвимости сайтов Уязвимости программ Общее Positive Technologies

Positive Technologies запустила бесплатный ресурс с данными об уязвимостях

Компания Positive Technologies открыла бесплатный портал, на котором собрана информация более чем о 300 тысячах уязвимостей в программном обеспечении и оборудовании. База обновляется регулярно и может пригодиться специалистам по кибербезопасности, разработчикам и ИБ-отделам компаний — в ней есть как описания уязвимостей, так и рекомендации по их устранению.

Инициатива появилась на фоне проблем с доступностью данных в международных базах — таких как National Vulnerability Database (NVD) и CVE.

В последнее время они обновляются с задержками, а также сталкиваются с сокращением финансирования, что сказывается на своевременности публикации новых уязвимостей. Это, в свою очередь, даёт злоумышленникам дополнительное время для использования уязвимостей до их устранения.

Портал агрегирует данные из разных источников, включая CVE, NVD, соцсети и мессенджеры. Описание каждой уязвимости формируется на основе этой информации — по словам разработчиков платформы, оно должно быть более подробным, чем в существующих базах. Кроме технической информации, на портале указаны авторы уязвимостей, если их удалось установить.

Отдельно выделяются уязвимости, которые активно обсуждаются в профессиональном сообществе. Это позволяет отслеживать те проблемы, которые находятся в фокусе внимания ИБ-специалистов прямо сейчас.

Сейчас в базе — свыше 300 тысяч уязвимостей и около 45 тысяч исследователей. По данным компании, каждую неделю добавляется примерно тысяча новых записей. Портал уже работает и доступен всем желающим без регистрации.

Новый вымогатель ShrinkLocker использует BitLocker в атаках на Windows

Читайте также