Công ty an ninh mạng Bitdefender của Romania đã phát hành một công cụ giải mã miễn phí giúp nạn nhân khôi phục dữ liệu bị mã hóa bằng phần mềm tống tiền ShrinkLocker.
Công cụ giải mã là kết quả của quá trình phân tích toàn diện hoạt động bên trong của ShrinkLocker, cho phép các nhà nghiên cứu khám phá "thời điểm cụ thể để khôi phục dữ liệu ngay sau khi gỡ bỏ lớp bảo vệ được mã hóa bằng BitLocker".
ShrinkLocker lần đầu tiên được Kaspersky ghi nhận vào tháng 5 năm 2024, khi phát hiện phần mềm độc hại này sử dụng tiện ích BitLocker gốc của Microsoft để mã hóa các tệp và nhấn mạnh về việc các tác nhân đe dọa ngày càng lợi dụng các mối quan hệ đáng tin cậy để xâm nhập vào chuỗi cung ứng.
Bitdefender cho biết cuộc tấn công đã mã hóa thành công các hệ thống chạy Windows 10, Windows 11, Windows Server 2016 và Windows Server 2019. Tuy nhiên, biến thể ShrinkLocker được sử dụng là phiên bản đã sửa đổi của phiên bản gốc.
Được mô tả là đơn giản nhưng hiệu quả, phần mềm tống tiền này nổi bật vì được viết bằng VBScript, một ngôn ngữ lập trình mà Microsoft cho biết sẽ không còn được sử dụng nữa kể từ nửa cuối năm 2024. Thêm vào đó, thay vì triển khai thuật toán mã hóa riêng, phần mềm độc hại này sử dụng BitLocker để đạt được mục tiêu của mình.
Tập lệnh này được thiết kế để thu thập thông tin về cấu hình hệ thống và hệ điều hành, sau đó kiểm tra xem BitLocker đã được cài đặt trên máy chủ Windows hay chưa và nếu chưa, sẽ cài đặt bằng lệnh PowerShell, sau đó thực hiện "khởi động lại bắt buộc" bằng Win32Shutdown.
Phần mềm tống tiền này được thiết kế để tạo ra mật khẩu ngẫu nhiên có nguồn gốc từ thông tin cụ thể của hệ thống, chẳng hạn như lưu lượng mạng, bộ nhớ hệ thống và mức sử dụng đĩa, rồi sử dụng thông tin này để mã hóa ổ đĩa của hệ thống.
Mật khẩu duy nhất sau đó được tải lên máy chủ do kẻ tấn công kiểm soát. Sau khi khởi động lại, người dùng được nhắc nhập mật khẩu để mở khóa ổ đĩa được mã hóa. Màn hình BitLocker cũng được cấu hình để hiển thị địa chỉ email liên hệ của tác nhân đe dọa để bắt đầu thanh toán đổi lấy mật khẩu.
Không chỉ có vậy. tập lệnh thực hiện một số sửa đổi Registry để hạn chế quyền truy cập vào hệ thống bằng cách vô hiệu hóa kết nối RDP từ xa và tắt đăng nhập cục bộ dựa trên mật khẩu. Là một phần trong nỗ lực dọn dẹp, nó cũng vô hiệu hóa các quy tắc Tường lửa Windows và xóa các tệp kiểm tra.
Bitdefender còn chỉ ra rằng cái tên ShrinkLocker dễ gây hiểu lầm vì chức năng cùng tên chỉ giới hạn ở các hệ thống Windows cũ và thực tế là nó không thu nhỏ phân vùng trên các hệ điều hành hiện tại.
Việc chủ động giám sát các nhật ký sự kiện Windows cụ thể có thể giúp các tổ chức xác định và ứng phó với các cuộc tấn công BitLocker tiềm ẩn, ngay cả trong giai đoạn đầu, chẳng hạn như khi kẻ tấn công đang kiểm tra khả năng mã hóa của chúng.
Sử dụng cấu hình BitLocker để lưu trữ thông tin phục hồi trong Dịch vụ miền Active Directory (AD DS) và thực thi chính sách "Không bật BitLocker cho đến khi thông tin phục hồi được lưu trữ vào AD DS cho ổ đĩa hệ điều hành", các tổ chức có thể giảm đáng kể nguy cơ bị tấn công dựa trên BitLocker.
Nguồn: thehackernews.com
Tín nhiệm mạng | Ngày 12/11/2024, Microsoft tiết lộ rằng 2 lỗ hổng bảo mật ảnh hưởng đến Windows NT LAN Manager (NTLM) và Task Scheduler đã bị khai thác một cách tích cực trong thực tế.
Tín nhiệm mạng | Tin tặc đang cố gắng khai thác 2 lỗ hổng bảo mật zero-day trong camera phát trực tiếp pan-tilt-zoom (PTZ) của PTZOptics được sử dụng trong các lĩnh vực công nghiệp, chăm sóc sức khỏe, hội nghị kinh doanh, chính phủ và phòng xử án.
Tín nhiệm mạng | Microsoft tiết lộ rằng một nhóm tấn công của Trung Quốc mà họ theo dõi với tên Storm-0940 đang sử dụng botnet có tên Quad7 để tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
Tín nhiệm mạng | Hơn ba mươi lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
Tín nhiệm mạng | Hơn 20.000 máy chủ CyberPanel trực tuyến có khả năng bị ảnh hưởng bởi lỗ hổng thực thi mã từ xa nghiêm trọng đã bị tấn công hàng loạt bằng phần mềm ransomware PSAUX khiến hầu hết các hệ thống này phải ngoại tuyến.
Tín nhiệm mạng | Một kỹ thuật tấn công mới có thể được sử dụng để vượt qua tính năng Thực thi chữ ký trình điều khiển (DSE) của Microsoft trên các hệ thống Windows đã vá đầy đủ, dẫn đến các cuộc tấn công hạ cấp hệ điều hành (OS).
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
