Kaspersky trouve de nouveaux ransomware utilisant BitLocker pour chiffrer les données de l’entreprise
JAKARTA - L’équipe de Kaspersky Global Emergency Response a identifié avec succès une nouvelle attaque de ransomware utilisant Microsoft BitLocker pour essayer de chiffrer les fichiers de l’entreprise.
Les chercheurs rapportent que les auteurs de menaces utilisent VBScript, le langage de programmation utilisé pour automatiser les tâches sur des ordinateurs Windows, pour créer des scripts malveillants.
Si la version OS convient à cette attaque, le scénario changera les paramètres de démarrage et essaye de chiffrer tous les lecteurs à l’aide de BitLocker.
Cela crée une nouvelle partition de boot, qui prépare essentiellement une partie séparée sur un lecteur d’ordinateur contenant des fichiers pour le démarrage du système d’exploitation.
Cette action vise à enfermuer la victime dans les prochaines étapes. L’agresseur supprime également le protecteur utilisé pour sécuriser la clé de cryptage BitLocker afin que la victime ne puisse pas le récupérer.
Les scénarios malveillants envoient ensuite des informations sur le système et les clés de cryptage générés sur l’ordinateur qui est entrés dans un serveur contrôlé par l’agresseur de menaces.
Après cela, il a recouvert ses traces en supprimant les logs et divers fichiers qui servent d’indices et d’aider à enquêter sur les attaques.
« Ce qui est très préoccupant dans cette affaire, c’est que BitLocker, qui était initialement conçu pour réduire le risque de vol ou d’exploitation de données, a été réutilisé par l’ennemi à des fins dangereuses », a déclaré Cristian Souza, Specialist en réponse aux incidents chez l’équipe mondiale d’intervention en cas d’urgence de Kaspersky.
En dernier cas, le logiciel malveillant fermé le système forcé. La victime a vu l’écran BitLocker avec le message: « Il n’y a plus d’option de récupération BitLocker sur votre PC ».
Kaspersky a dénoncé le scénario «ShrinkLocker » parce que le nom souligne une procédure importante pour modifier la taille de la partition, ce qui est important pour les attaquants de s’assurer que le système reprend correctement avec des fichiers cryptés.
« Le blocage de routine, stocké hors ligne et testé, est également une protection importante », a déclaré Christian.