Kaspersky, 회사 데이터 암호화에 BitLocker를 사용하는 새로운 랜섬웨어 발견

자카르타 - Kaspersky Global Emergency Response 팀은 Microsoft의 BitLocker를 사용하여 회사 파일을 암호화하려고 시도하는 새로운 랜섬웨어 공격을 성공적으로 식별했습니다.

연구원들은 공격자가 Windows 컴퓨터에서 작업을 자동화하는 데 사용되는 프로그래밍 언어인 VBScript를 사용하여 악성 스크립트를 생성했다고 보고했습니다.

OS 버전이 공격에 적합한 경우 스크립트는 부팅 설정을 변경하고 BitLocker를 사용하여 전체 드라이브를 암호화하려고 시도합니다.

이렇게 하면 운영 체제 부팅을 위한 파일이 포함된 별도의 섹션을 컴퓨터 드라이브에 설정하는 새로운 부팅 파티션이 생성됩니다.

이 조치는 피해자를 이후 단계에 가두는 것을 목표로 합니다. 공격자는 또한 피해자가 복구할 수 없도록 BitLocker 암호화 키를 보호하는 데 사용되는 보호 장치를 제거합니다.

그런 다음 악성 스크립트는 손상된 컴퓨터에서 생성된 시스템 및 암호화 키에 대한 정보를 위협 행위자가 제어하는 서버로 보냅니다.

이후 공격 수사에 단서가 되고 도움이 됐던 로그와 각종 파일을 삭제해 흔적을 은폐했다.

Kaspersky 글로벌 비상 대응 팀의 사고 대응 전문가인 Cristian Souza는 "이번 사례에서 특히 우려되는 점은 원래 데이터 도난이나 악용의 위험을 줄이기 위해 설계된 BitLocker가 공격자들에 의해 악의적인 목적으로 용도가 변경되었다는 것입니다."라고 말했습니다.

마지막 단계로 악성코드는 시스템을 강제 종료합니다. 피해자는 "PC에 더 이상 BitLocker 복구 옵션이 없습니다."라는 메시지가 표시된 BitLocker 화면을 보게 됩니다.

Kaspersky는 이 스크립트에 "ShrinkLocker"라는 이름을 붙였습니다. 이름이 파티션 크기 조정의 중요한 절차를 강조하기 때문입니다. 이는 공격자가 암호화된 파일로 시스템이 제대로 부팅되도록 하는 데 중요합니다.

"오프라인에 저장되고 테스트된 정기 백업도 중요한 보호 수단입니다."라고 Christian은 말합니다.