Ein neuer Angreifer nutzt die Bitlocker-Funktionen in Windows aus und verwandelt die interne Verschlüsselungs-Funktion somit in Ransomware. Die Attacke läuft zwar relativ einfach ab per Skript, ist aber hochgefährlich, da der Angreifer ShrinkLocker so alle Festplatten-Daten verschlüsselt.
Angreifer finden immer kreative Wege, Verteidigungsmaßnahmen zu umgehen und ihre Ziele zu erreichen. Dies kann mit Packern, Cryptern und Code-Verschleierung erfolgen. Eine der besten Möglichkeiten, einer Erkennung zu entgehen und die Kompatibilität zu maximieren, besteht jedoch darin, die eigenen Funktionen des Betriebssystems zu nutzen. Auf diese Weise können die Angreifer sicherstellen, dass die Malware in verschiedenen Versionen des Betriebssystems ausgeführt werden kann.
Wenn BitLocker zur Ransomware wird
Genau so geht der Angreifer ShrinkLocker vor: er nutzt die nativen BitLocker-Funktion zum Verschlüsseln ganzer Volumes und das Stehlen des Entschlüsselungsschlüssels. Der ursprüngliche Zweck von BitLocker besteht darin, die Risiken des Datendiebstahls oder der Gefährdung durch verlorene, gestohlene oder unsachgemäß außer Betrieb genommene Geräte zu bekämpfen. Dennoch haben Bedrohungsakteure herausgefunden, dass dieser Mechanismus mit großer Wirkung für böswillige Zwecke genutzt werden kann.
Die Angreifer nutzen ein erweitertes VBS-Skript und führen es aus um BitLocker zur unautorisierten Dateiverschlüsselung zu nutzen. Aktuell haben die Experten von Kaspersky das Skript und seine modifizierten Versionen in Mexiko, Indonesien und Jordanien entdeckt. Eine Analyse des Skriptes zeigt, dass es recht einfache Schritte ausführt. Aber am Ende ist das System verschlüsselt, der Entschlüsselungscode gestohlen und es wird eine Erpressung gestartet. Dabei ist interessant, dass das bösartige Skript nur auf lokale Laufwerke zielt und Netzwerklaufwerke auslässt – wohl um der Entdeckung zu entgehen.
Erst verschlüsselt, dann Protokolle gelöscht
Nach der Datenverschlüsselung löscht ShrinkLocker das Skript dann die Windows PowerShell- und Microsoft-Windows-PowerShell/Operational-Protokolle, aktiviert die Systemfirewall und löscht alle ihre Regeln. Außerdem werden die Aufgaben VolumeInit und VolumeCheck gelöscht. Somit lassen sich die BitLocker-Wiederherstellungs-Optionen nicht mehr nutzen.
Unternehmen sollen natürlich Verschlüsselungstools wie BitLocker verwenden, um Unternehmensgeheimnisse zu schützen. Allerdings sollten diese einige Vorkehrungen getroffen werden, um den Missbrauch durch Angreifer zu verhindern.
- Verwenden Sie eine robuste, ordnungsgemäß konfigurierte EPP-Lösung, um Bedrohungen zu erkennen, die versuchen, BitLocker zu missbrauchen.
- Implementieren Sie Managed Detection and Response (MDR), um proaktiv nach Bedrohungen zu suchen.
- Wenn BitLocker aktiviert ist, stellen Sie sicher, dass Sie ein sicheres Passwort verwenden und die Wiederherstellungsschlüssel an einem sicheren Ort gespeichert haben.
- Stellen Sie sicher, dass Benutzer nur über minimale Berechtigungen verfügen. Auf diese Weise können sie keine Verschlüsselungsfunktionen aktivieren oder Registrierungsschlüssel selbst ändern.
Die Experten von Kaspersky stellen auf ihrer Webseite einen Artikel bereit, der den gesamten technischen Ablauf der Attacke beschreibt.
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/