Tehdit aktörleri, dosya kurtarmayı engellemek için kurtarma seçeneklerini kaldırıyor ve yeni işlevselliğe sahip kötü amaçlı bir komut dosyası kullanıyor. Ayrıca belirli Windows sürümlerini algılayabilir ve Windows sürümünüze göre BitLocker'ı etkinleştirebilir. Bu fidye yazılımının ve “ShrinkLocker” adı verilen türevlerinin Meksika, Endonezya ve Ürdün'de görüldüğü vakalar görüldü. Failler çelik ve aşı imalat şirketlerini ve bir kamu kuruluşunu hedef aldı.Kaspersky Küresel Acil Durum Müdahale ekibi, tehdit aktörlerinin, Windows bilgisayarlardaki görevleri otomatikleştirmek için kullanılan bir programlama dili olan VBScript'i kullanarak, saldırının zararını en üst düzeye çıkarmak için daha önce bildirilmemiş işlevlere sahip kötü amaçlı bir komut dosyası oluşturduğunu bildirdi. Yeni olan şey, tehdidin sistemde yüklü olan Windows'un geçerli sürümünü kontrol etmesi ve buna göre BitLocker özelliklerini etkinleştirmesidir. Bu şekilde tehdidin Windows Server 2008'e kadar yeni ve eski sistemlere bulaşabileceği düşünülüyor. İşletim sistemi sürümü saldırıya uygunsa, komut dosyası önyükleme ayarlarını değiştiriyor ve BitLocker kullanarak tüm sürücüleri şifrelemeye çalışıyor. Yeni bir önyükleme bölümü oluşturmak, bilgisayarınızın sürücüsünde, işletim sistemini başlatmak için gereken dosyaları içeren ayrı bir bölüm oluşturur. Bu eylem, mağdurun daha sonraki bir aşamada engellenmesini amaçlamaktadır. Saldırganlar ayrıca BitLocker şifreleme anahtarını korumak için kullanılan güvenlik önlemlerini de siler, böylece kurban bunları kurtaramaz. Kötü amaçlı komut dosyası daha sonra sistem bilgilerini ve ele geçirilen bilgisayarda oluşturulan şifreleme anahtarını tehdit aktörü tarafından kontrol edilen sunucuya gönderir. Daha sonra günlük kayıtlarını ve ipucu olabilecek ve saldırının araştırılmasına yardımcı olabilecek çeşitli dosyaları silerek izlerini kapatır. Son aşamada, kötü amaçlı yazılım sistemi kapanmaya zorlar; bu, dosyaları ayrı bir önyükleme bölümünde oluşturup yeniden yükleyerek elde edilen bir yetenektir. Kurban, BitLocker ekranında şu mesajı görüyor: “BitLocker kurtarma seçeneği artık bilgisayarınızda mevcut değil.”Sistemin zorla kapatılmasının ardından mağdurun ekranında görünen mesajKaspersky söz konusu komut dosyasına “ShrinkLocker” adını verdi. Bu ad, sistemin şifrelenmiş dosyalarla doğru şekilde önyüklenmesini sağlamak için saldırganın gerektirdiği kritik bölümü yeniden boyutlandırma prosedürünü vurgular.Kaspersky Küresel Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı Cristian SouzaDiyor: “Bu durumda özellikle endişe verici olan şey, başlangıçta veri hırsızlığı veya ifşa riskini azaltmak için tasarlanan BitLocker'ın saldırganlar tarafından kötü amaçlarla kullanılmasıdır. Bir güvenlik önleminin silaha dönüştürülmesi acımasız bir ironidir. BitLocker kullanan şirketlerin güçlü parolaları ve kurtarma anahtarlarını güvenli bir şekilde saklaması kritik öneme sahiptir. Çevrimdışı tutulan ve test edilen düzenli yedeklemeler de temel koruma önlemleridir.” Etkinliğin detaylı teknik analizine Securelist'ten ulaşabilirsiniz. Kaspersky uzmanları, saldırganların raporda açıklanan işlevlerden yararlanmasını önlemek için aşağıdaki etki azaltma önlemlerini önermektedir:
- BitLocker'ı kötüye kullanmaya çalışan tehditleri tespit etmek için sağlam, düzgün yapılandırılmış güvenlik yazılımı kullanın. Tehditleri proaktif bir şekilde araştırmak için yönetilen algılama ve yanıt (MDR) uygulayın.
- Şifreleme özelliklerinin yetkisiz etkinleştirilmesini veya kayıt defteri anahtarlarının değiştirilmesini önlemek için kullanıcı ayrıcalıklarını kısıtlayın.
- Etkilenen sistemler parolaları veya anahtarları saldırganların etki alanlarına aktarabileceğinden, hem GET hem de POST isteklerini yakalayarak ağ trafiğinin günlüğe kaydedilmesini ve izlenmesini etkinleştirin.
- VBScript ve PowerShell yürütme olaylarını izleyin. Kaydedilen komut dosyalarını ve komutları yerel olarak silinmeye karşı etkili bir şekilde korumak için harici bir depolama cihazına kaydedin
Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–