„კასპერსკის ლაბორატორიის“ გლობალური კიბერ ინციდენტების რეაგირების ჯგუფის ექსპერტებმა (Kaspersky GERT) დააფიქსირეს თავდასხმები კორპორატიულ მოწყობილობებზე ახალი გამოსასყიდის პროგრამის გამოყენებით, რომელიც იყენებს BitLocker-ს. ეს არის Windows-ის უსაფრთხოების ფუნქცია, რომელიც საშუალებას გაძლევთ დაიცვათ თქვენი მონაცემები დაშიფვრის გამოყენებით. მავნე პროგრამას ეწოდება ShrinkLocker.
კომპანია იუწყება, რომ თავდამსხმელებმა შექმნეს მავნე სკრიპტი VBScript-ში, პროგრამირების ენა, რომელიც გამოიყენება Windows კომპიუტერებზე ამოცანების ავტომატიზაციისთვის. ეს სკრიპტი ამოწმებს Windows -ის რომელი ვერსიაა დაინსტალირებული მოწყობილობაზე და შესაბამისად ააქტიურებს BitLocker ფუნქციას. მავნე პროგრამას შეუძლია დააინფიციროს ოპერაციული სისტემის ახალი და ძველი ვერსიები – Windows Server 2008-მდე.
სკრიპტი ცვლის OS-ის ჩატვირთვის პარამეტრებს და შემდეგ ცდილობს მყარი დისკის დანაყოფების დაშიფვრას BitLocker-ის გამოყენებით. იქმნება ახალი ჩატვირთვის დანაყოფი, რათა დაშიფრული კომპიუტერი მოგვიანებით ჩატვირთოთ. თავდამსხმელები ასევე შლიან უსაფრთხოების ინსტრუმენტებს, რომლებიც გამოიყენება BitLocker დაშიფვრის გასაღების დასაცავად, რათა მომხმარებელმა მოგვიანებით ვერ შეძლოს მათი აღდგენა.
შემდეგ მავნე სკრიპტი აგზავნის ინფორმაციას სისტემის შესახებ და ინფიცირებულ კომპიუტერზე გენერირებულ დაშიფრვის გასაღებს, შემდეგ კი „ფარავს თავის კვალს“: შლის ჟურნალებს და სხვადასხვა ფაილებს, რომლებმაც შესაძლებელია თავდასხმის გამნჟღავნებაში დახმარება გასწიოს.
საბოლოო ეტაპზე მავნე პროგრამა იძულებით ბლოკავს სისტემაში წვდომას. მსხვერპლი ეკრანზე ხედავს შეტყობინებას: „თქვენს კომპიუტერში BitLocker-ის აღდგენის ვარიანტები არ არის“.
„კასპერსკის ლაბორატორიის“ ექსპერტებმა მავნე სკრიპტს დაარქვეს ShrinkLocker. თავდასხმების დროს, მყარი დისკის დანაყოფების პარამეტრების შეცვლა მთავარ როლს ასრულებს: ეს თავდამსხმელებს აძლევს შესაძლებლობას ჩატვირთონ სისტემა დაშიფრული ფაილებით.
„შეტევისათვის გამოიყენებოდა ს BitLocker ― ინსტრუმენტი, რომელიც თავდაპირველად შეიქმნა მონაცემების არაავტორიზებული წვდომის თავიდან ასაცილებლად. დამცავი ინსტრუმენტი თავდამსხმელთა ხელში იარაღად იქცა. კომპანიებმა, რომლებიც იყენებენ BitLocker-ს, უნდა შეიმუშაონ ძლიერი პაროლები და უსაფრთხოდ შეინახონ წვდომის აღდგენის გასაღებები. ასევე საჭიროა მნიშვნელოვანი მონაცემების სარეზერვო ასლის ორგანიზება. ჩვენ გირჩევთ გამოიყენოთ MDR ან EDR კლასის გადაწყვეტილებები ადრეული გამოვლენისთვის და რა თქმა უნდა, გამოვიკვლიოთ ყველა ინციდენტი თავდაპირველი თავდასხმის ვექტორის იდენტიფიცირებისთვის, რათა თავიდან იქნას აცილებული მსგავსი ინციდენტების განმეორება მომავალში“, – ამბობს „კასპერსკის ლაბორატორიის“ გლობალური კომპიუტერული ინციდენტების რეაგირების ჯგუფის ხელმძღვანელი კონსტანტინე საპრონოვი.
კასპერსკის ლაბორატორიის დამატებითი რეკომენდაციები კომპანიათა რისკების შესამცირებლად მოცემულია აქ.
