Bagikan:

JAKARTA - Tim Kaspersky Global Emergency Response telah berhasil mengidentifikasi serangan ransomware baru yang menggunakan BitLocker Microsoft untuk percobaan mengenkripsi file perusahaan. 

Para peneliti melaporkan bahwa para pelaku ancaman menggunakan VBScript, bahasa pemrograman yang digunakan untuk mengotomatisasi tugas-tugas pada komputer Windows, untuk membuat skrip berbahaya. 

Jika versi OS cocok untuk serangan tersebut, skrip akan mengubah pengaturan boot dan mencoba mengenkripsi seluruh drive menggunakan BitLocker. 

Ini membuat partisi boot baru, yang pada dasarnya menyiapkan bagian terpisah pada drive komputer yang berisi file untuk mem-boot sistem operasi. 

Tindakan ini bertujuan untuk mengurung korban pada tahap selanjutnya. Penyerang juga menghapus pelindung yang digunakan untuk mengamankan kunci enkripsi BitLocker sehingga korban tidak dapat memulihkannya.

Skrip berbahaya kemudian mengirimkan informasi tentang sistem dan kunci enkripsi yang dihasilkan pada komputer yang disusupi menuju server yang dikendalikan pelaku ancaman. 

Setelah itu, ia menutupi jejaknya dengan menghapus log dan berbagai file yang berfungsi sebagai petunjuk dan membantu penyelidikan serangan.

“Hal yang sangat memprihatinkan dalam kasus ini adalah bahwa BitLocker, yang awalnya dirancang untuk mengurangi risiko pencurian atau eksploitasi data, telah digunakan kembali oleh musuh untuk tujuan berbahaya,” kata Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team.

Sebagai langkah terakhir, malware akan melakukan penutupan paksa sistem. Korban melihat layar BitLocker dengan pesan: “Tidak ada lagi opsi pemulihan BitLocker di PC Anda”.

Kaspersky menjuluki skrip tersebut sebagai "ShrinkLocker" karena nama ini menyoroti prosedur penting pengubahan ukuran partisi, yang penting bagi penyerang untuk memastikan sistem melakukan booting dengan benar dengan file terenkripsi.

“Pencadangan rutin, disimpan secara offline dan diuji, juga merupakan perlindungan yang penting,” ujar Christian.