Kaspersky, Microsoft'un BitLocker şifreleme aracını kullanarak kurumsal dosyaları şifrelemeye çalışan fidye yazılımı saldırıları tespit etti. Tehdit aktörleri, dosyaların geri yüklenmesini önlemek için kurtarma seçeneklerini kaldırıyor ve yeni bir özelliğe sahip kötü amaçlı bir komut dosyası kullanıyor. Ayrıca belirli Windows sürümlerini algılayabiliyor ve Windows sürümüne göre BitLocker'ı etkinleştirebiliyor. “ShrinkLocker” olarak adlandırılan bu fidye yazılımı ve türevleriyle ilgili vakalar Meksika, Endonezya ve Ürdün'de gözlemlendi. Failler çelik ve aşı üretimi yapan şirketleri ve bir kamu kurumunu hedef aldı.

Kaspersky Global Acil Durum Müdahale ekibinin bildirdiğine göre, tehdit aktörleri Windows bilgisayarlardaki görevleri otomatikleştirmek için kullanılan bir programlama dili olan VBScript'i kullanarak, saldırının zararını en üst düzeye çıkarmak için daha önce bildirilmemiş özelliklere sahip kötü amaçlı bir komut dosyası oluşturuyor. Buradaki yenilik, tehdidin sistemde yüklü olan mevcut Windows sürümünü kontrol etmesi ve BitLocker özelliklerini buna göre etkinleştirmesi. Bu şekilde tehdidin Windows Server 2008'e kadar yeni ve eski sistemlere bulaşabileceğine inanılıyor.

İşletim sistemi sürümünün saldırı için uygun olması durumunda, komut dosyası önyükleme ayarlarını değiştiriyor ve BitLocker kullanarak tüm sürücüleri şifrelemeye çalışıyor. Yeni bir önyükleme bölümü oluşturarak bilgisayarın sürücüsünde işletim sisteminin ön yüklenmesi için gerekli dosyaları içeren ayrı bir bölüm kuruyor. Bu eylem kurbanı daha sonraki bir aşamada kilitlemeyi amaçlıyor. Saldırganlar ayrıca BitLocker'ın şifreleme anahtarını güvence altına almak için kullanılan koruyucuları da siliyor, böylece kurban bunları kurtaramıyor.

Kötü amaçlı komut dosyası daha sonra sistem hakkındaki bilgileri ve ele geçirilen bilgisayarda oluşturulan şifreleme anahtarını tehdit aktörü tarafından kontrol edilen sunucuya gönderiyor. Ardından ipucu niteliğinde olan ve saldırının araştırılmasına yardımcı olabilecek günlük kayıtlarını ve çeşitli dosyaları silerek izini kapatıyor.

Son adımda kötü amaçlı yazılım sistemi kapatmaya zorluyor ki, bu ayrı bir önyükleme bölümünde dosyaların oluşturulması ve yeniden yüklenmesi ile sağlanan bir yetenek. Kurban BitLocker ekranında şu mesajı görüyor: “Bilgisayarınızda artık BitLocker kurtarma seçeneği mevcut değil”.

Sistemin zorla kapatılmasından sonra kurbanın ekranında beliren mesaj

Kaspersky söz konusu komut dosyasını “ShrinkLocker” olarak adlandırdı. Bu isim, saldırganın sistemin şifrelenmiş dosyalarla doğru şekilde ön yüklenmesini sağlamak için gerekli olan kritik yeniden bölüm boyutlandırma prosedürünü vurguluyor.

Kaspersky Global Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı Cristian Souza, şunları söylüyor: “Bu vakada özellikle endişe verici olan şey, başlangıçta veri hırsızlığı veya ifşa risklerini azaltmak için tasarlanan BitLocker'ın saldırganlar tarafından kötü niyetli amaçlar için kullanılmasıdır. Bir güvenlik önleminin bu şekilde silah haline getirilmesi acımasız bir ironi. BitLocker kullanan şirketlerin güçlü parolaları ve kurtarma anahtarlarını güvenli bir şekilde saklanması çok önemlidir. Çevrimdışı tutulan ve test edilen düzenli yedeklemeler de temel koruma önlemleridir.” 

Olayın ayrıntılı teknik analizi Securelist'te yer alıyor. Kaspersky uzmanları, saldırganların raporda açıklanan özellikten yararlanmasını önlemek için aşağıdaki hafifletme önlemlerini öneriyor:

BitLocker'ı kötüye kullanmaya çalışan tehditleri tespit etmek için sağlam, düzgün yapılandırılmış bir güvenlik yazılımı kullanın. Tehditleri proaktif olarak araştırmak için Yönetilen Algılama ve Yanıt (MDR) uygulayın.

Şifreleme özelliklerinin yetkisiz olarak etkinleştirilmesini veya kayıt defteri anahtarlarının değiştirilmesini önlemek için kullanıcı ayrıcalıklarını sınırlandırın.

Virüs bulaşmış sistemler saldırgan etki alanlarına parola veya anahtar iletebileceğinden, hem GET hem de POST isteklerini yakalayarak ağ trafiğinin günlüğe kaydını ve izlenmesini etkinleştirin.

VBScript ve PowerShell yürütme olaylarını izleyin. Günlüğe kaydedilen komut dosyalarını ve komutları yerel silme işlemine karşılık etkin bir şekilde saklamak için harici bir depolamaya kaydedin