Ransomware ใหม่มุ่งเป้าไปที่คอมพิวเตอร์ Windows โดยการแย่งชิงฟังก์ชัน BitLocker ด้วยการใช้ประโยชน์จากโมดูลการเข้ารหัสของ Microsoft อาชญากรไซเบอร์หวังว่าจะไม่มีใครสังเกตเห็น...
ผู้เชี่ยวชาญของ Kaspersky ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่มีเป้าหมายไปที่คอมพิวเตอร์ Windows บัพติศมาShrinkLockerมัลแวร์ต้องอาศัยBitLocker โมดูลการเข้ารหัสที่รวมโดย Microsoft- เปิดตัวในปี 2550 พร้อมกับ Windows Vista โมดูลนี้ช่วยให้ผู้ใช้ปกป้องข้อมูลด้วยการเข้ารหัสฮาร์ดไดรฟ์อย่างสมบูรณ์
ฟังก์ชั่นนี้ถูกอาชญากรไซเบอร์แย่งชิงไป และช่วยอำนวยความสะดวกในกิจกรรมแรนซัมแวร์ ดังที่ Kaspersky อธิบาย ความจริงก็คือ"เพื่อใช้ฟีเจอร์ของระบบปฏิบัติการเอง"ทิศตะวันออก“หนึ่งในวิธีที่ดีที่สุดในการหลบเลี่ยงการตรวจจับ”-
อ่านเพิ่มเติม:อีเมลหลายล้านฉบับแพร่กระจายแรนซั่มแวร์ Lockbit ไปทั่วโลก
การโจมตีทางไซเบอร์ที่กำหนดเป้าหมาย Windows เวอร์ชันของคุณ
เมื่อแพร่ระบาดไปยังคอมพิวเตอร์ของเป้าหมายได้สำเร็จ ShrinkLocker จะทำการสอบถามก่อนเวอร์ชันของ Windows ที่ติดตั้งบนเครื่อง ที่จริงแล้วแฮกเกอร์มีนิสัยชอบเตรียมการโจมตีเฉพาะในระบบปฏิบัติการบางเวอร์ชันเท่านั้น หากคอมพิวเตอร์ใช้เวอร์ชันเก่ากว่า Windows Vista แรนซัมแวร์จะไม่โจมตีข้อมูล ข้อมูลฮาร์ดไดรฟ์จะไม่ถูกเข้ารหัสและมัลแวร์จะถูกลบออกโดยอัตโนมัติ
ในกรณีอื่นๆ ShrinkLocker อาศัยยูทิลิตี้นี้การจัดการดิสก์ของ Windows เพื่อลดขนาดทุกส่วนของฮาร์ดไดรฟ์ที่ไม่มีระบบปฏิบัติการ พื้นที่ว่างถูกใช้เพื่อติดตั้งไฟล์เริ่มต้นใหม่ ทำให้แรนซัมแวร์สามารถจัดการการเริ่มต้นระบบปฏิบัติการได้ กระบวนการนี้ยังทำให้การกู้คืนข้อมูลยุ่งยากอีกด้วย
จากนั้นไวรัสจะใช้ประโยชน์จาก Bitlocker เพื่อเข้ารหัสข้อมูลที่เก็บไว้ โดยจะปิดใช้งานการป้องกันในตัวเพื่อรักษาความปลอดภัยให้กับคีย์เข้ารหัส BitLocker ลบออก และติดตั้งการป้องกันของตัวเอง มัลแวร์จะกำจัดตัวป้องกันเริ่มต้นทั้งหมด เช่น รหัสผ่าน คีย์การกู้คืน และอุปกรณ์บูตที่ปลอดภัยที่ช่วยให้เจ้าของสามารถเข้าถึงข้อมูลที่เข้ารหัสได้อีกครั้ง ในที่สุดมันก็สร้างคีย์เข้ารหัส 64 ตัวอักษร เพื่อยุติการโจมตี แรนซัมแวร์จะบังคับให้ระบบปิดตัวลง สำหรับ Kaspersky มันคือแทบจะเป็นไปไม่ได้เลยเพื่อให้ผู้ใช้สามารถเข้าถึงไฟล์อีกครั้งผ่าน Bitlocker ได้สำเร็จ
อาชญากรไซเบอร์ส่งที่อยู่อีเมลติดต่อเป็นป้ายกำกับไปยังพาร์ติชันสำหรับเริ่มระบบใหม่ ที่อยู่นี้เองที่เหยื่อได้รับเชิญให้เจรจาคีย์เข้ารหัสเพื่อเข้าถึงข้อมูลของพวกเขาอีกครั้ง
ยุทธวิธีที่ได้รับการขัดเกลา
จากข้อมูลของ Kaspersky การมีอยู่ของ ShrinkLocker คือ“พิสูจน์ว่าผู้โจมตีปรับปรุงกลยุทธ์อย่างต่อเนื่องเพื่อหลบเลี่ยงการตรวจจับ”- แรนซัมแวร์สายพันธุ์ใหม่นี้ได้ถูกนำไปใช้กับธุรกิจและหน่วยงานภาครัฐในเม็กซิโก อินโดนีเซีย และจอร์แดน
นี่ไม่ใช่ครั้งแรกที่Bitlocker ถูกใช้ในทางที่ผิดเพื่อกิจกรรมทางอาญา- ในช่วงปลายปี 2022 Microsoft ค้นพบว่าแฮกเกอร์ชาวอิหร่านกำลังใช้โมดูลนี้เพื่อโจมตีแรนซัมแวร์อยู่แล้ว หลังจากนั้นไม่นาน บริษัทรัสเซียสูญเสียการเข้าถึงข้อมูลของตนระหว่างการโจมตีทางไซเบอร์ที่ใช้ประโยชน์จาก Bitlocker เล่าอาทเทคนิค-
นอกจากนี้ ไม่ใช่เรื่องแปลกที่ฟังก์ชัน Windows จะถูกอาชญากรไซเบอร์ใช้เป็นอาวุธ เมื่อเร็ว ๆ นี้ Microsoft ได้ตระหนักถึงสิ่งนั้นแฮกเกอร์ใช้ฟังก์ชัน Quick Assist เพื่อปรับใช้แรนซัมแวร์- เมื่อสองเดือนก่อนแฮกเกอร์ชาวรัสเซียใช้ประโยชน์จากตัวจัดการโปรโตคอล URI “search-ms:” และโปรโตคอลแอปพลิเคชัน “search:”เพื่อขโมยข้อมูลรับรอง
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : แคสเปอร์สกี้
