به گزارش کارگروه امنیت خبرگزاری سایبربان، بیتدیفندر در کنار رمزگشا، یک بلاگ تحقیقاتی مفصل منتشر کرده و به طور دقیق توضیح داده است که این باجافزار چگونه عمل میکند.
این نوع باجافزار از ویژگی بیت لاکر (BitLocker) مایکروسافت برای رمزگذاری فایلها استفاده کرده و سپس گزینههای بازیابی را حذف میکند.
بیتدیفندر توضیح داد:
شرینک لاکر (ShrinkLocker) یک نوع جدید از باجافزار است که از رویکردی منحصر به فرد برای رمزگذاری سیستمها استفاده میکند. با سوءاستفاده از بیت لاکر، یک ویژگی قانونی ویندوز، این باجافزار میتواند به سرعت درایوهای کامل، از جمله درایوهای سیستم، را رمزگذاری کند.
کار این شرکت با تحقیقاتی در مورد یک حادثه در یک شرکت مراقبتهای بهداشتی در خاورمیانه آغاز شد که در آن مهاجمان ابتدا به دستگاهی بدون مدیریت نفوذ کردند و سپس به طور افقی در سیستم حرکت کرده و شرینک لاکر را مستقر کردند.
این نوع باجافزار اوایل امسال ظهور کرد، زمانی که محققان در چندین شرکت هشدار دادند که ابزار نسبتاً سادهای توسط مجرمان سایبری استفاده میشود.
کسپرسکی در ماه می باجافزار را مشاهده کرد که سازمانهایی در مکزیک، اندونزی و اردن را هدف قرار داده بود و صنایعی از جمله تولید فولاد و واکسن، همچنین یک نهاد دولتی را تحت تأثیر قرار داده بود.
بیتدیفندر بیان کرد:
برخلاف بیشتر باجافزارهای مدرن که از الگوریتمهای رمزگذاری پیچیده استفاده میکنند، شرینک لاکر رویکردی سادهتر و غیرمتعارفتر دارد. در ابتدا بررسی میکند که آیا بیت لاکر فعال است یا خیر، و اگر فعال نباشد، آن را نصب میکند. سپس سیستم را با استفاده از یک رمز عبور تصادفی مجدداً رمزگذاری میکند.
پس از راهاندازی مجدد سیستم، از کاربر خواسته میشود تا رمز عبور را وارد کرده تا درایو را باز کند، در این مرحله، اطلاعات تماس مهاجم نمایش داده میشود و دستورالعملهایی برای پرداخت باج به منظور دریافت کلید رمزگشایی ارائه میشود.
بیتدیفندر اعلام کرد که در برخی موارد، این باجافزار میتواند در عرض ۱۰ دقیقه سیستمهای متعدد را رمزگذاری کند.
سادگی این ابزار باعث شده تا برای مجرمان سایبری سطح پایین که علاقهای به شرکت در عملیاتهای بزرگ باجافزاری به عنوان سرویس (RaaS) ندارند، جذاب باشد.
محققان اظهار کردند که مانع ورودی برای استفاده و اصلاح شرینک لاکر نسبتاً پایین است و این امر آن را برای طیف وسیعتری از مهاجمان قابل دسترسی میکند.
آنها افزودند:
تحلیلهای ما نشان میدهد که بدافزار شرینک لاکر توسط چندین تهدیدگر فردی برای حملات سادهتر تطبیق داده شده است، نه اینکه از طریق مدل باجافزار به عنوان سرویس (RaaS) توزیع شود.
این باجافزار برای اجرا بر روی سیستمهای قدیمی مانند ویندوز ۷ و ۸ یا ویندوز سرور ۲۰۰۸ و ۲۰۱۲ طراحی شده است.
وقتی این باجافزار در ماه می ظاهر شد، کریستیان سوزا از کسپرسکی در یک بیانیه مطبوعاتی هشدار داد که بیت لاکر در ابتدا برای کاهش خطرات سرقت یا افشای دادهها طراحی شده بود.
مایکروسافت دو سال پیش اعلام کرد که یک گروه تهدید دولتی ایرانی از ویژگی بیت لاکر ویندوز در حملات استفاده کرده است و دیگر مجرمان سایبری نیز به استفاده از تکنیکهای مشابه دست زدهاند.
سوزا عنوان کرد:
این یک تناقض تلخ است که یک تدابیر امنیتی به این شکل به سلاح تبدیل شده است.
در دو سال گذشته، بیتدیفندر رمزگشایهایی برای انواع باجافزار لاکرگوگا (LockerGoga)، مورتال کامبت (MortalKombat) و مگا کورتکس (MegaCortex) منتشر کرده است.
