VietNetwork.Vn

Công ty an ninh mạng Bitdefender của Romania đã phát hành một công cụ giải mã miễn phí để giúp nạn nhân khôi phục dữ liệu bị mã hóa bằng phần mềm tống tiền ShrinkLocker.

Công cụ giải mã là kết quả của quá trình phân tích toàn diện hoạt động bên trong của ShrinkLocker, cho phép các nhà nghiên cứu khám phá "thời điểm cụ thể để khôi phục dữ liệu ngay sau khi gỡ bỏ lớp bảo vệ khỏi đĩa được mã hóa bằng BitLocker".


ShrinkLocker lần đầu tiên được Kaspersky ghi nhận vào tháng 5 năm 2024, khi phát hiện phần mềm độc hại này sử dụng tiện ích BitLocker gốc của Microsoft để mã hóa các tệp như một phần của các cuộc tấn công tống tiền nhắm vào Mexico, Indonesia và Jordan.

Bitdefender, công ty đã điều tra sự cố ShrinkLocker nhắm vào một công ty chăm sóc sức khỏe giấu tên ở Trung Đông, cho biết cuộc tấn công có khả năng bắt nguồn từ một máy của một nhà thầu, một lần nữa nhấn mạnh cách các tác nhân đe dọa ngày càng lợi dụng các mối quan hệ đáng tin cậy để xâm nhập vào chuỗi cung ứng.

Ở giai đoạn tiếp theo, kẻ tấn công di chuyển ngang sang bộ điều khiển miền Active Directory bằng cách sử dụng thông tin xác thực hợp lệ cho một tài khoản bị xâm phạm, sau đó tạo hai tác vụ theo lịch trình để kích hoạt quy trình ransomware.

Trong khi tác vụ đầu tiên thực thi một tập lệnh Visual Basic ("Check.vbs") sao chép chương trình ransomware vào mọi máy tính tham gia miền, thì tác vụ thứ hai - được lên lịch hai ngày sau đó - thực thi ransomware được triển khai cục bộ ("Audit.vbs").

Bitdefender cho biết cuộc tấn công đã mã hóa thành công các hệ thống chạy Windows 10, Windows 11, Windows Server 2016 và Windows Server 2019. Tuy nhiên, biến thể ShrinkLocker được sử dụng được cho là phiên bản đã sửa đổi của phiên bản gốc.

Được mô tả là đơn giản nhưng hiệu quả, phần mềm tống tiền này nổi bật vì được viết bằng VBScript, một ngôn ngữ lập trình mà Microsoft cho biết sẽ không còn được sử dụng nữa kể từ nửa cuối năm 2024. Thêm vào đó, thay vì triển khai thuật toán mã hóa riêng, phần mềm độc hại này sử dụng BitLocker để đạt được mục tiêu của mình.

Tập lệnh này được thiết kế để thu thập thông tin về cấu hình hệ thống và hệ điều hành, sau đó kiểm tra xem BitLocker đã được cài đặt trên máy chủ Windows hay chưa và nếu chưa, sẽ cài đặt bằng lệnh PowerShell, sau đó thực hiện "khởi động lại bắt buộc" bằng Win32Shutdown.


Nhưng Bitdefender cho biết họ đã phát hiện ra một lỗi khiến yêu cầu này không thành công với lỗi "Không giữ được đặc quyền", khiến VBScript bị kẹt trong vòng lặp vô hạn do nỗ lực khởi động lại không thành công.

Martin Zugec, giám đốc giải pháp kỹ thuật tại Bitdefender, cho biết: "Ngay cả khi máy chủ được khởi động lại theo cách thủ công (ví dụ như bởi một quản trị viên không ngờ tới), tập lệnh cũng không có cơ chế để tiếp tục thực thi sau khi khởi động lại, nghĩa là cuộc tấn công có thể bị gián đoạn hoặc ngăn chặn".

Phần mềm tống tiền này được thiết kế để tạo ra mật khẩu ngẫu nhiên có nguồn gốc từ thông tin cụ thể của hệ thống, chẳng hạn như lưu lượng mạng, bộ nhớ hệ thống và mức sử dụng đĩa, rồi sử dụng thông tin này để mã hóa ổ đĩa của hệ thống.

Mật khẩu duy nhất sau đó được tải lên máy chủ do kẻ tấn công kiểm soát. Sau khi khởi động lại, người dùng được nhắc nhập mật khẩu để mở khóa ổ đĩa được mã hóa. Màn hình BitLocker cũng được cấu hình để hiển thị địa chỉ email liên hệ của tác nhân đe dọa để bắt đầu thanh toán để đổi lấy mật khẩu.

Không chỉ có vậy. Tập lệnh thực hiện một số sửa đổi Registry để hạn chế quyền truy cập vào hệ thống bằng cách vô hiệu hóa kết nối RDP từ xa và tắt đăng nhập cục bộ dựa trên mật khẩu. Là một phần trong nỗ lực dọn dẹp, nó cũng vô hiệu hóa các quy tắc Tường lửa Windows và xóa các tệp kiểm tra.

Bitdefender còn chỉ ra rằng cái tên ShrinkLocker dễ gây hiểu lầm vì chức năng cùng tên chỉ giới hạn ở các hệ thống Windows cũ và thực tế là nó không thu nhỏ phân vùng trên các hệ điều hành hiện tại.

"Bằng cách sử dụng kết hợp các Đối tượng Chính sách Nhóm (GPO) và các tác vụ theo lịch trình, nó có thể mã hóa nhiều hệ thống trong một mạng chỉ trong vòng 10 phút cho mỗi thiết bị", Zugec lưu ý. "Kết quả là, có thể đạt được sự xâm phạm hoàn toàn của một miền với rất ít nỗ lực".

"Việc chủ động giám sát các nhật ký sự kiện Windows cụ thể có thể giúp các tổ chức xác định và ứng phó với các cuộc tấn công BitLocker tiềm ẩn, ngay cả trong giai đoạn đầu, chẳng hạn như khi kẻ tấn công đang kiểm tra khả năng mã hóa của chúng."

"Bằng cách cấu hình BitLocker để lưu trữ thông tin phục hồi trong Dịch vụ miền Active Directory (AD DS) và thực thi chính sách "Không bật BitLocker cho đến khi thông tin phục hồi được lưu trữ vào AD DS cho ổ đĩa hệ điều hành", các tổ chức có thể giảm đáng kể nguy cơ bị tấn công dựa trên BitLocker".