Tehdit aktörleri, belgelerin geri yüklenmesini önlemek için kurtarma seçeneklerini kaldırıyor ve yeni bir özelliğe sahip makus emelli bir komut evrakı kullanıyor. Ayrıyeten makul Windows sürümlerini algılayabiliyor ve Windows sürümüne nazaran BitLocker’ı etkinleştirebiliyor.
“ShrinkLocker” olarak isimlendirilen bu fidye yazılımı ve türevleriyle ilgili hadiseler Meksika, Endonezya ve Ürdün’de gözlemlendi. Failler çelik ve aşı üretimi yapan şirketleri ve bir kamu kurumunu amaç aldı.
Kaspersky Küresel Acil Durum Müdahale grubunun bildirdiğine nazaran, tehdit aktörleri Windows bilgisayarlardaki misyonları otomatikleştirmek için kullanılan bir programlama lisanı olan VBScript’i kullanarak, atağın ziyanını en üst seviyeye çıkarmak için daha evvel bildirilmemiş özelliklere sahip makûs maksatlı bir komut evrakı oluşturuyor. Buradaki yenilik, tehdidin sistemde yüklü olan mevcut Windows sürümünü denetim etmesi ve BitLocker özelliklerini buna nazaran aktifleştirmesi. Bu halde tehdidin Windows Server 2008’e kadar yeni ve eski sistemlere bulaşabileceğine inanılıyor.
İşletim sistemi sürümünün hücum için uygun olması durumunda, komut evrakı önyükleme ayarlarını değiştiriyor ve BitLocker kullanarak tüm şoförleri şifrelemeye çalışıyor. Yeni bir önyükleme kısmı oluşturarak bilgisayarın şoföründe işletim sisteminin ön yüklenmesi için gerekli belgeleri içeren farklı bir kısım kuruyor. Bu hareket kurbanı daha sonraki bir kademede kilitlemeyi amaçlıyor. Saldırganlar ayrıyeten BitLocker’ın şifreleme anahtarını garanti altına almak için kullanılan koruyucuları da siliyor, böylelikle kurban bunları kurtaramıyor.
Kötü gayeli komut evrakı daha sonra sistem hakkındaki bilgileri ve ele geçirilen bilgisayarda oluşturulan şifreleme anahtarını tehdit aktörü tarafından denetim edilen sunucuya gönderiyor. Akabinde ipucu niteliğinde olan ve hücumun araştırılmasına yardımcı olabilecek günlük kayıtlarını ve çeşitli belgeleri silerek izini kapatıyor.
Son adımda berbat hedefli yazılım sistemi kapatmaya zorluyor ki, bu farklı bir önyükleme kısmında evrakların oluşturulması ve yine yüklenmesi ile sağlanan bir yetenek. Kurban BitLocker ekranında şu bildirisi görüyor: “Bilgisayarınızda artık BitLocker kurtarma seçeneği mevcut değil”.
Sistemin zorla kapatılmasından sonra kurbanın ekranında beliren mesaj
Kaspersky kelam konusu komut belgesini “ShrinkLocker” olarak isimlendirdi. Bu isim, saldırganın sistemin şifrelenmiş evraklarla hakikat halde ön yüklenmesini sağlamak için gerekli olan kritik tekrar kısım boyutlandırma prosedürünü vurguluyor.
Kaspersky Küresel Acil Durum Müdahale Takımı Olay Müdahale Uzmanı Cristian Souza, şunları söylüyor: “Bu hadisede bilhassa kaygı verici olan şey, başlangıçta data hırsızlığı yahut ifşa risklerini azaltmak için tasarlanan BitLocker’ın saldırganlar tarafından makus niyetli emeller için kullanılmasıdır. Bir güvenlik tedbirinin bu biçimde silah haline getirilmesi acımasız bir ironi. BitLocker kullanan şirketlerin güçlü parolaları ve kurtarma anahtarlarını inançlı bir biçimde saklanması çok değerlidir. Çevrimdışı tutulan ve test edilen sistemli yedeklemeler de temel muhafaza tedbirleridir.”
Olayın detaylı teknik analizi Securelist’te yer alıyor. Kaspersky uzmanları, saldırganların raporda açıklanan özellikten yararlanmasını önlemek için aşağıdaki hafifletme tedbirlerini öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
GÜNDEM
22 Aralık 2024SPOR
22 Aralık 2024GÜNDEM
22 Aralık 2024SPOR
22 Aralık 2024SPOR
22 Aralık 2024GÜNDEM
22 Aralık 2024GÜNDEM
22 Aralık 2024Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.