ShrinkLocker ランサムウェア
Windows 内で Microsoft の強力な暗号化ソフトウェアが利用できることを踏まえ、多くのランサムウェア運営者は、マルウェア脅威に暗号化ロック メカニズムを統合する必要性に疑問を抱いています。サイバー セキュリティの専門家が強調する注目すべき例の 1 つが ShrinkLocker です。このランサムウェアの亜種は、Windows BitLocker を使用して企業システムを暗号化するために新しいブート パーティションを作成します。
目次
脅威アクターは正規のWindows機能を悪用してデータをロックする
ランサムウェアが BitLocker を使用してコンピューターを暗号化する事例は珍しくありません。あるケースでは、脅威アクターが Windows 内のこのセキュリティ機能を利用して、ベルギーの病院の 40 台のサーバーにある 100 TB のデータを暗号化しました。同様に、別の攻撃者は、モスクワに拠点を置く食肉生産者および販売業者のシステムを BitLocker で暗号化しました。マイクロソフトは 2022 年 9 月に警告を発し、イランの政府支援を受けた攻撃者が BitLocker を使用して Windows 10、Windows 11、または Windows Server 2016 以降を実行しているシステムを暗号化したことを明らかにしました。
しかし、ShrinkLocker を精査した結果、専門家は、この脅威には攻撃の影響範囲を拡大することを目的とした、これまで明らかにされていなかった機能があることを警告しています。
ShrinkLocker は特定の仕様が満たされた場合にのみ実行されます
ShrinkLocker は、Visual Basic Scripting (VBScript) でコーディングされています。VBScript は、Microsoft が 1996 年に導入した言語で、現在は廃止されつつあります。この脅威の機能の中には、Win32_OperatingSystem クラスで Windows Management Instrumentation (WMI) を利用して、ターゲット マシンで実行されている特定の Windows バージョンを識別する機能があります。
攻撃は、現在のドメインがターゲットと一致し、オペレーティング システム (OS) のバージョンが Vista より新しいなど、特定の条件下でのみ実行されます。それ以外の場合、ShrinkLocker は自動的に終了し、自己削除します。ターゲットが攻撃の条件を満たすと、マルウェアは Windows のディスク パーツ ユーティリティを使用して、ブート以外のすべてのパーティションを 100 MB 縮小し、未割り当て領域を同じサイズの新しいプライマリ ボリュームに分割します。
研究者らは、Windows 2008 および 2012 では、ShrinkLocker ランサムウェアは最初にブート ファイルと他のボリュームのインデックスを保存すると指摘しています。研究者の技術分析で説明されているように、他の Windows OS バージョンでも、コード セグメントは異なりますが、同様のサイズ変更操作が実行されます。その後、マルウェアは BCDEdit コマンドライン ツールを使用して、新しく生成されたパーティションにブート ファイルを再インストールします。
ShrinkLocker ランサムウェアはドライブのパーティション全体のデータを使用不能にする
ShrinkLocker はレジストリ エントリを変更して、リモート デスクトップ接続を無効にしたり、Trusted Platform Module (TPM) のないホストで BitLocker 暗号化を有効にしたりすることもできます。この専用チップは、ハードウェア ベースのセキュリティ関連機能を提供します。
ShrinkLocker の背後にいる脅威アクターは、被害者との通信チャネルを確立するために身代金ファイルをドロップしません。代わりに、連絡先の電子メール アドレス (onboardingbinder@proton.me、conspiracyid9@protonmail.com) を新しいブート パーティションのラベルとして提供します。ただし、管理者は回復環境またはその他の診断ツールを使用してデバイスを起動しない限り、このラベルを見ることができないため、見逃してしまう可能性が高くなります。
ドライブを暗号化した後、脅威アクターは BitLocker プロテクター (TPM、PIN、スタートアップ キー、パスワード、回復パスワード、回復キーなど) を削除して、攻撃者に送信される BitLocker の暗号化キーを被害者が回復するオプションを拒否します。
ファイルを暗号化するために生成されるキーは、ランダムな乗算と、0~9 の数字、特殊文字、およびホロアルファベットの文章「The quick brown fox jumps over the lazy dog」による変数の置き換えの 64 文字の組み合わせです。キーは TryCloudflare ツールを通じて配信されます。これは、開発者が CloudFlare の DNS にサイトを追加せずに CloudFlare のトンネルを試すための正当なサービスです。
攻撃の最終段階では、ShrinkLocker はすべての変更を有効にするためにシステムを強制的にシャットダウンし、ドライブをロックして BitLocker 回復オプションがない状態にします。
ShrinkLockerの脅威アクターは金銭目的ではないかもしれない
BitLocker は、回復画面にパーソナライズされたメッセージを作成するオプションを提供しており、被害者に恐喝メッセージを表示するための理想的なプラットフォームを提供します。目立つように表示される身代金要求メッセージがなく、電子メールが単にドライブ ラベルとして指定されていることから、これらの攻撃は金銭目的ではなく、より破壊的な性質を意図していると考えられます。
研究者らは、ShrinkLocker が複数の亜種で現れ、メキシコ、インドネシア、ヨルダンの政府機関や鉄鋼およびワクチン製造部門の組織に対して展開されていることを明らかにしました。
システムで BitLocker を採用している企業は、回復キーを安全に保管し、定期的にテストされるオフライン バックアップを定期的に維持することを強くお勧めします。さらに、組織は、BitLocker の不正使用の試みを検出し、最小限のユーザー権限を適用し、ネットワーク トラフィック (GET 要求と POST 要求の両方を含む) の包括的なログ記録と監視を有効にし、VBS および PowerShell 実行に関連するイベントを追跡し、関連するスクリプトをログに記録するために、適切に構成されたエンドポイント保護プラットフォーム (EPP) ソリューションを導入することを強く推奨します。
ShrinkLocker ランサムウェアビデオ
ヒント:サウンドをオンにして、フルスクリーンモードでビデオを視聴します。
