კასპერსკის ლაბორატორიამ აღმოაჩინა გამოსასყიდი პროგრამა, რომელიც იყენებს Windows-ის ლეგიტიმურ ფუნქციას

„კასპერსკის ლაბორატორიის“ გლობალური კიბერ ინციდენტების რეაგირების ჯგუფის ექსპერტებმა (Kaspersky GERT) დააფიქსირეს თავდასხმები კორპორატიულ მოწყობილობებზე ახალი გამოსასყიდის პროგრამის გამოყენებით, რომელიც იყენებს BitLocker-ს. ეს არის Windows-ის უსაფრთხოების ფუნქცია, რომელიც საშუალებას გაძლევთ დაიცვათ თქვენი მონაცემები დაშიფვრის გამოყენებით. მავნე პროგრამას ეწოდება ShrinkLocker.

კომპანია იუწყება, რომ თავდამსხმელებმა შექმნეს მავნე სკრიპტი VBScript-ში, პროგრამირების ენა, რომელიც გამოიყენება Windows კომპიუტერებზე ამოცანების ავტომატიზაციისთვის. ეს სკრიპტი ამოწმებს Windows -ის რომელი ვერსიაა დაინსტალირებული მოწყობილობაზე და შესაბამისად ააქტიურებს BitLocker ფუნქციას. მავნე პროგრამას შეუძლია დააინფიციროს ოპერაციული სისტემის ახალი და ძველი ვერსიები – Windows Server 2008-მდე.

სკრიპტი ცვლის OS-ის ჩატვირთვის პარამეტრებს და შემდეგ ცდილობს მყარი დისკის დანაყოფების დაშიფვრას BitLocker-ის გამოყენებით. იქმნება ახალი ჩატვირთვის დანაყოფი, რათა დაშიფრული კომპიუტერი მოგვიანებით ჩატვირთოთ. თავდამსხმელები ასევე შლიან უსაფრთხოების ინსტრუმენტებს, რომლებიც გამოიყენება BitLocker დაშიფვრის გასაღების დასაცავად, რათა მომხმარებელმა მოგვიანებით ვერ შეძლოს მათი აღდგენა.

შემდეგ მავნე სკრიპტი აგზავნის ინფორმაციას სისტემის შესახებ და ინფიცირებულ კომპიუტერზე გენერირებულ დაშიფრვის გასაღებს,  შემდეგ კი  „ფარავს თავის კვალს“: შლის ჟურნალებს და სხვადასხვა ფაილებს, რომლებმაც შესაძლებელია თავდასხმის გამნჟღავნებაში დახმარება გასწიოს. 

საბოლოო ეტაპზე მავნე პროგრამა იძულებით ბლოკავს სისტემაში წვდომას. მსხვერპლი ეკრანზე ხედავს შეტყობინებას: „თქვენს კომპიუტერში BitLocker-ის აღდგენის ვარიანტები არ არის“.

„კასპერსკის ლაბორატორიის“  ექსპერტებმა მავნე სკრიპტს დაარქვეს ShrinkLocker. თავდასხმების დროს, მყარი დისკის დანაყოფების პარამეტრების შეცვლა მთავარ როლს ასრულებს: ეს თავდამსხმელებს აძლევს შესაძლებლობას ჩატვირთონ სისტემა დაშიფრული ფაილებით.

„შეტევისათვის გამოიყენებოდა ს BitLocker ― ინსტრუმენტი, რომელიც თავდაპირველად შეიქმნა მონაცემების არაავტორიზებული წვდომის თავიდან ასაცილებლად. დამცავი ინსტრუმენტი თავდამსხმელთა ხელში იარაღად იქცა. კომპანიებმა, რომლებიც იყენებენ BitLocker-ს, უნდა შეიმუშაონ  ძლიერი პაროლები და უსაფრთხოდ შეინახონ წვდომის აღდგენის გასაღებები. ასევე საჭიროა  მნიშვნელოვანი მონაცემების სარეზერვო ასლის ორგანიზება. ჩვენ გირჩევთ გამოიყენოთ MDR ან EDR კლასის გადაწყვეტილებები ადრეული გამოვლენისთვის და  რა თქმა უნდა, გამოვიკვლიოთ ყველა ინციდენტი თავდაპირველი თავდასხმის ვექტორის იდენტიფიცირებისთვის, რათა თავიდან იქნას აცილებული მსგავსი ინციდენტების განმეორება მომავალში“, – ამბობს „კასპერსკის ლაბორატორიის“ გლობალური კომპიუტერული ინციდენტების რეაგირების ჯგუფის ხელმძღვანელი კონსტანტინე საპრონოვი. 

კასპერსკის ლაბორატორიის დამატებითი რეკომენდაციები კომპანიათა  რისკების შესამცირებლად მოცემულია აქ.

  • -

    Kaspersky Digital Footprint Intelligence: ყოველი მეორე ექსპლოიტი ბნელ ქსელში უმიზნებს ნულოვან და პირველი დღის დაუცველობას

    Kaspersky Digital Footprint Intelligence-ის გუნდმა გააანალიზა 547 რეკლამა 2023 წლის იანვრიდან 2024 წლის სექტემბრის ჩათვლით ფორუმებზე დაუცველობის ექსპლოიტების შესყიდვისა და გაყიდვის შესახებ. აღმოჩნდა, რომ მათი ნახევარი (51%) იყენებს ნულოვანი და…

    მსოფლიოში ანდროიდის მოწყობილობებზე თავდასხმების რაოდენობა კვლავ მცირდება

    2024 წლის მესამე კვარტალში მსოფლიოში „კასპერსკის ლაბორატორიამ“ აღკვეთა 6 686 375 თავდასხმა Android-ზე მავნე, სარეკლამო  ან არასასურველი მობილური პროგრამული უზრუნველყოფის გამოყენებით, მაშინ როცა წინა წლის ანალოგიურ პერიოდთან შედარებით გამოვლენილი იქნა …

    კომენტარის დატოვება

    თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები მონიშნულია *