カスペルスキーは、BitLockerを使用して企業データを暗号化する新しいランサムウェアを見つけました

ジャカルタ - カスペルスキーのグローバル緊急対応チームは、MicrosoftのBitLockerを使用して会社のファイルを暗号化しようとする新しいランサムウェア攻撃を特定することに成功しました。

研究者らは、脅威アクターがWindowsコンピュータ上のタスクを自動化するために使用されるプログラミング言語であるVBScriptを使用して悪意のあるスクリプトを作成したと報告しました。

OSバージョンが攻撃に適している場合、スクリプトはブート設定を変更し、BitLockerを使用してドライブ全体を暗号化しようとします。

これにより、新しいブートパーティションが作成され、基本的にオペレーティングシステムを起動するためのファイルを含むコンピュータードライブに別の部分が設定されます。

このアクションは、次の段階で被害者をロックすることを目的としています。攻撃者はまた、BitLocker暗号化キーを保護するために使用された保護具を削除し、被害者がそれを回復できないようにします。

悪意のあるスクリプトは、侵害されたコンピュータで生成されたシステムと暗号化キーに関する情報を脅威アクターによって制御されるサーバーに送信します。

その後、彼は手がかりとして機能し、攻撃の調査を支援するログやさまざまなファイルを削除することで、痕跡を隠しました。

「この場合の最も懸念されるのは、もともとデータの盗難や悪用のリスクを減らすように設計されていたBitLockerが、敵によって悪意のある目的のために再利用されていることです」と、カスペルスキーのグローバル緊急対応チームのインシデント対応スペシャリストであるクリスティアン・ソウザは述べています。

最後のステップとして、マルウェアはシステムを強制的に閉じます。被害者は、「PCにBitLocker回復オプションはもうありません」というメッセージが付いたBitLocker画面に表示されます。

カスペルスキーは、攻撃者が暗号化されたファイルでシステムが正しく起動することを確認するために重要なパーティションサイズを変更するための重要な手順を強調しているため、スクリプトを「ShrinkLocker」と名付けました。

「定期的なバックアップ、オフラインで保存、テストも重要な保護です」とクリスチャンは言いました。