Nowy ransomware wykorzystuje BitLockera do szyfrowania dysku

Do sieci trafiły informacje o nowej rodzinie oprogramowania typu ransomware o nazwie ShrinkLocker. Do działania wykorzystuje ona BitLockera – wbudowaną w system operacyjny Windows funkcję szyfrowania danych.

BitLocker zadebiutował na rynku w 2007 roku wraz z systemem operacyjnym Windows Vista. Jest wykorzystywany w najnowszych wersjach Windowsa do szyfrowania dysków twardych z zainstalowanym systemem operacyjnym, aby uniemożliwić odczyt lub modyfikację danych w przypadku uzyskania fizycznego dostępu do nośnika.

Zobacz również:

Systemy Windows 10 oraz Windows 11 wykorzystują szyftowanie XTS-AES z kluczem 128 lub 256-bitowym, aby zapewnić dodatkową ochronę przed atakami.

Badacze z firmy Kaspersky zajmującej się bezpieczeństwem odkryli zagrożenie wykorzystujące BitLockera do szyfrowania danych w systemach znajdujących się w Meksyku, Indonezji i Jordanii. Badacze nazwali nowy ransomware ShrinkLocker, zarówno ze względu na wykorzystanie BitLockera, jak i dlatego, że zmniejsza on rozmiar każdej partycji innej niż rozruchowa o 100 MB i dzieli nowo nieprzydzielone miejsce na nowe partycje podstawowe o tym samym rozmiarze.

“Nasza reakcja na incydenty i analiza złośliwego oprogramowania są dowodem na to, że atakujący stale udoskonalają swoje taktyki, aby uniknąć wykrycia.” – napisali w piątek – 24 maja 2024 roku badacze z Kaspersky Lab. “W tym incydencie zaobserwowaliśmy nadużywanie natywnej funkcji BitLocker do nieautoryzowanego szyfrowania danych.“

ShrinkLocker nie jest pierwszym złośliwym oprogramowaniem wykorzystującym BitLocker. W 2022 roku Microsoft poinformował, że atakujący powiązani z Iranem również używali tego narzędzia do szyfrowania plików. W tym samym roku rosyjska firma rolnicza Miratorg została zaatakowana przez oprogramowanie ransomware, które wykorzystywało BitLocker do szyfrowania plików znajdujących się w pamięci systemowej zainfekowanych urządzeń.

Zgłoś naruszenie/Błąd