Эксперты глобальной команды реагирования на киберинциденты «Лаборатории Касперского» (Kaspersky GERT) обнаружили атаки на корпоративные устройства с помощью новой программы-вымогателя, использующей BitLocker. Это функция безопасности в Windows, позволяющая защитить данные с помощью шифрования. Вредоносное ПО получило название ShrinkLocker.

 

Компания сообщает, что злоумышленники создали вредоносный скрипт на VBScript — языке программирования, используемом для автоматизации задач на компьютерах под управлением Windows. Этот скрипт проверяет, какая версия Windows установлена на устройстве, и в соответствии с ней активирует функционал BitLocker. Зловред может заражать как новые, так и старые версии ОС — вплоть до Windows Server 2008.

 

Скрипт изменяет параметры загрузки ОС, а потом пытается зашифровать разделы жёсткого диска с помощью BitLocker. Создаётся новый загрузочный раздел, чтобы позднее иметь возможность загружать зашифрованный компьютер. Злоумышленники также удаляют инструменты безопасности, используемые для защиты ключа шифрования BitLocker, чтобы пользователь потом не смог их восстановить.

 

Далее вредоносный скрипт отправляет на сервер злоумышленников информацию о системе и ключ шифрования, сгенерированный на заражённом компьютере. После этого он «заметает следы»: удаляет логи и различные файлы, которые могут помочь в исследовании атаки.

 

На заключительном этапе вредоносная программа принудительно блокирует доступ в систему. Жертва видит на экране сообщение: «На вашем компьютере нет вариантов восстановления BitLocker».

 

Эксперты «Лаборатории Касперского» дали вредоносному скрипту название ShrinkLocker (от англ. shrink ― уменьшать). При атаках ключевую роль играет изменение параметров разделов жесткого диска: это обеспечивает злоумышленникам возможность загрузки системы с зашифрованными файлами.

 

«Для атак использовался BitLocker ― инструмент, изначально созданный для предотвращения несанкционированного доступа к данным. Защитный инструмент стал оружием в руках злоумышленников. Компаниям, использующим BitLocker, необходимо использовать надёжные пароли и безопасно хранить ключи для восстановления доступа. Также важно организовать резервное копирование важных данных. Рекомендуем использовать решения класса MDR или EDR для раннего обнаружения и, конечно, расследовать все инциденты для выявления начального вектора атаки для устранения повторения подобных инцидентов в будущем», ― комментирует Константин Сапронов, руководитель Глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».

 

Дальнейшие рекомендации «Лаборатории Касперского» по снижению рисков для компаний приведены здесь.

 

Представительство компании «Лаборатория Касперского» в Армении

 

 

  -   Пресс-релизы