يقوم أحد برامج الفدية غير المعروفة سابقًا، والذي يطلق عليه اسم ShrinkLocker، بتشفير بيانات الضحية باستخدام ميزة BitLocker المضمنة في نظام التشغيل Windows.
BitLocker هو برنامج تشفير كامل الحجم ظهر لأول مرة في عام 2007 مع إصدار نظام التشغيل Windows Vista. يستخدمه المستخدمون لتشفير محركات الأقراص الثابتة بالكامل لمنع الأشخاص من قراءة البيانات أو تعديلها في حالة حصولهم على وصول فعلي إلى القرص. بدءًا من طرح نظام التشغيل Windows 10، استخدم BitLocker افتراضيًا خوارزمية تشفير XTS-AES 128 بت و256 بت، مما يمنح الميزة حماية إضافية من الهجمات التي تعتمد على معالجة النص المشفر لإحداث تغييرات يمكن التنبؤ بها في النص العادي.
في الآونة الأخيرة، اكتشف باحثون من شركة الأمن Kaspersky جهة فاعلة للتهديد تستخدم BitLocker لتشفير البيانات الموجودة على الأنظمة الموجودة في المكسيك وإندونيسيا والأردن. أطلق الباحثون على برنامج الفدية الجديد اسم ShrinkLocker، وذلك لاستخدامه لـ BitLocker ولأنه يقلص حجم كل قسم غير قابل للتشغيل بمقدار 100 ميجابايت ويقسم المساحة غير المخصصة حديثًا إلى أقسام أساسية جديدة بنفس الحجم.
وكتب الباحثون يوم الجمعة: “إن استجابتنا للحوادث وتحليلنا للبرامج الضارة هما دليل على أن المهاجمين يعملون باستمرار على تحسين أساليبهم لتجنب اكتشافهم”. “في هذه الحادثة، لاحظنا إساءة استخدام ميزة BitLocker الأصلية لتشفير البيانات غير المصرح به.”
ShrinkLocker ليس أول برنامج ضار يستفيد من BitLocker. وفي عام 2022، أفادت مايكروسوفت أن مهاجمي برامج الفدية المرتبطة بإيران استخدموا الأداة أيضًا لتشفير الملفات. وفي العام نفسه، تعرضت شركة Miratorg الزراعية الروسية لهجوم بواسطة برنامج فدية يستخدم BitLocker لتشفير الملفات الموجودة في مخزن النظام للأجهزة المصابة.
بمجرد تثبيته على الجهاز، يقوم ShrinkLocker بتشغيل البرنامج النصي VisualBasic الذي يستدعي أولاً فئة Windows Management Instrumentation وWin32_OperatingSystem للحصول على معلومات حول نظام التشغيل.
وكتب الباحثون في كاسبرسكي: “بالنسبة لكل كائن ضمن نتائج الاستعلام، يتحقق البرنامج النصي مما إذا كان المجال الحالي مختلفًا عن الهدف”. “إذا كان الأمر كذلك، فسينتهي البرنامج النصي تلقائيًا. بعد ذلك، يتحقق مما إذا كان اسم نظام التشغيل يحتوي على ‘xp’ أو ‘2000’ أو ‘2003’ أو ‘vista’، وإذا كان إصدار Windows يطابق أيًا من هذه الأسماء، فسينتهي البرنامج النصي تلقائيًا ويحذف نفسه.
تكبير / لقطة شاشة توضح الشروط الأولية للتنفيذ.
كاسبيرسكي
يستمر البرنامج النصي بعد ذلك في استخدام WMI للاستعلام عن معلومات حول نظام التشغيل. ويستمر في إجراء عمليات تغيير حجم القرص، والتي يمكن أن تختلف وفقًا لإصدار نظام التشغيل المكتشف. يقوم برنامج الفدية بتنفيذ هذه العمليات فقط على محركات الأقراص المحلية الثابتة. من المحتمل أن يكون الدافع وراء قرار ترك محركات أقراص الشبكة بمفردها هو الرغبة في عدم تفعيل الحماية من اكتشاف الشبكة.
إعلان
في النهاية، يقوم ShrinkLocker بتعطيل وسائل الحماية المصممة لتأمين مفتاح تشفير BitLocker ويستمر في حذفها. ثم يتيح استخدام كلمة مرور رقمية، كأداة حماية ضد أي شخص آخر يستعيد السيطرة على BitLocker وكأداة تشفير لبيانات النظام. سبب حذف أدوات الحماية الافتراضية هو تعطيل ميزات الاسترداد الرئيسية بواسطة مالك الجهاز. يقوم ShrinkLocker بعد ذلك بإنشاء مفتاح تشفير مكون من 64 حرفًا باستخدام الضرب العشوائي واستبدال:
متغير بالأرقام من 0 إلى 9؛ البانجرام الشهير، “الثعلب البني السريع يقفز فوق الكلب الكسول”، بالأحرف الصغيرة والكبيرة، والذي يحتوي على كل حرف من حروف الأبجدية الإنجليزية؛ شخصيات خاصة.
وبعد عدة خطوات إضافية، يتم تشفير البيانات. في المرة التالية التي يتم فيها إعادة تشغيل الجهاز، تبدو الشاشة كما يلي:
تكبير / لقطة شاشة توضح شاشة استرداد BitLocker.
كاسبيرسكي
يعد فك تشفير محركات الأقراص بدون المفتاح الذي يوفره المهاجم أمرًا صعبًا ومن المحتمل أن يكون مستحيلًا في كثير من الحالات. في حين أنه من الممكن استرداد بعض عبارات المرور والقيم الثابتة المستخدمة لإنشاء المفاتيح، إلا أن البرنامج النصي يستخدم قيمًا متغيرة تختلف على كل جهاز مصاب. ليس من السهل استرداد هذه القيم المتغيرة.
لا توجد وسائل حماية خاصة بـ ShrinkLocker لمنع الهجمات الناجحة. تنصح شركة Kaspersky بما يلي:
استخدم حماية نقطة النهاية القوية والتي تم تكوينها بشكل صحيح لاكتشاف التهديدات التي تحاول إساءة استخدام BitLocker؛ تنفيذ الكشف والاستجابة المُدارة (MDR) للبحث عن التهديدات بشكل استباقي؛ إذا تم تمكين BitLocker، فتأكد من أنه يستخدم كلمة مرور قوية ومن تخزين مفاتيح الاسترداد في مكان آمن؛ تأكد من أن المستخدمين لديهم الحد الأدنى من الامتيازات فقط. وهذا يمنعهم من تمكين ميزات التشفير أو تغيير مفاتيح التسجيل بأنفسهم؛ تمكين تسجيل ومراقبة حركة مرور الشبكة. قم بتكوين تسجيل طلبات GET وPOST. في حالة الإصابة، قد تحتوي الطلبات المقدمة إلى مجال المهاجم على كلمات مرور أو مفاتيح؛ مراقبة الأحداث المرتبطة بتنفيذ VBS وPowerShell، ثم حفظ البرامج النصية والأوامر المسجلة في نشاط تخزين مستودع خارجي يمكن حذفه محليًا؛ قم بعمل نسخ احتياطية بشكل متكرر، وقم بتخزينها في وضع عدم الاتصال، واختبرها.
يتضمن تقرير الجمعة أيضًا مؤشرات يمكن للمؤسسات استخدامها لتحديد ما إذا كانت مستهدفة بواسطة ShrinkLocker.
صورة القائمة بواسطة Getty Images
