ShrinkLocker macht BitLocker zur Ransomware

B2B Cyber Security ShortNews

Beitrag teilen

Ein neuer Angreifer nutzt die Bitlocker-Funktionen in Windows aus und verwandelt die interne Verschlüsselungs-Funktion somit in Ransomware. Die Attacke läuft zwar relativ einfach ab per Skript, ist aber hochgefährlich, da der Angreifer ShrinkLocker so alle Festplatten-Daten verschlüsselt.

Angreifer finden immer kreative Wege, Verteidigungsmaßnahmen zu umgehen und ihre Ziele zu erreichen. Dies kann mit Packern, Cryptern und Code-Verschleierung erfolgen. Eine der besten Möglichkeiten, einer Erkennung zu entgehen und die Kompatibilität zu maximieren, besteht jedoch darin, die eigenen Funktionen des Betriebssystems zu nutzen. Auf diese Weise können die Angreifer sicherstellen, dass die Malware in verschiedenen Versionen des Betriebssystems ausgeführt werden kann.

Wenn BitLocker zur Ransomware wird

Genau so geht der Angreifer ShrinkLocker vor: er nutzt die nativen BitLocker-Funktion zum Verschlüsseln ganzer Volumes und das Stehlen des Entschlüsselungsschlüssels. Der ursprüngliche Zweck von BitLocker besteht darin, die Risiken des Datendiebstahls oder der Gefährdung durch verlorene, gestohlene oder unsachgemäß außer Betrieb genommene Geräte zu bekämpfen. Dennoch haben Bedrohungsakteure herausgefunden, dass dieser Mechanismus mit großer Wirkung für böswillige Zwecke genutzt werden kann.

Die Angreifer nutzen ein erweitertes VBS-Skript und führen es aus um BitLocker zur unautorisierten Dateiverschlüsselung zu nutzen. Aktuell haben die Experten von Kaspersky das Skript und seine modifizierten Versionen in Mexiko, Indonesien und Jordanien entdeckt. Eine Analyse des Skriptes zeigt, dass es recht einfache Schritte ausführt. Aber am Ende ist das System verschlüsselt, der Entschlüsselungscode gestohlen und es wird eine Erpressung gestartet. Dabei ist interessant, dass das bösartige Skript nur auf lokale Laufwerke zielt und Netzwerklaufwerke auslässt – wohl um der Entdeckung zu entgehen.

Erst verschlüsselt, dann Protokolle gelöscht

Nach der Datenverschlüsselung löscht ShrinkLocker das Skript dann die Windows PowerShell- und Microsoft-Windows-PowerShell/Operational-Protokolle, aktiviert die Systemfirewall und löscht alle ihre Regeln. Außerdem werden die Aufgaben VolumeInit und VolumeCheck gelöscht. Somit lassen sich die BitLocker-Wiederherstellungs-Optionen nicht mehr nutzen.

Unternehmen sollen natürlich Verschlüsselungstools wie BitLocker verwenden, um Unternehmensgeheimnisse zu schützen. Allerdings sollten diese einige Vorkehrungen getroffen werden, um den Missbrauch durch Angreifer zu verhindern.

  • Verwenden Sie eine robuste, ordnungsgemäß konfigurierte EPP-Lösung, um Bedrohungen zu erkennen, die versuchen, BitLocker zu missbrauchen.
  • Implementieren Sie Managed Detection and Response (MDR), um proaktiv nach Bedrohungen zu suchen.
  • Wenn BitLocker aktiviert ist, stellen Sie sicher, dass Sie ein sicheres Passwort verwenden und die Wiederherstellungsschlüssel an einem sicheren Ort gespeichert haben.
  • Stellen Sie sicher, dass Benutzer nur über minimale Berechtigungen verfügen. Auf diese Weise können sie keine Verschlüsselungsfunktionen aktivieren oder Registrierungsschlüssel selbst ändern.

Die Experten von Kaspersky stellen auf ihrer Webseite einen Artikel bereit, der den gesamten technischen Ablauf der Attacke beschreibt.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Ransomware: 97 Prozent der Betroffen sucht Rat bei Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass ➡ Weiterlesen